中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]
作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:" k/ l, r  Y+ d& F

. E# e" X) |: n当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时) c  p0 {' l/ D5 ^4 l% s. Z$ n
<!--#includ file="conn.asp"-->
! _1 y6 D8 H% q" q8 P, n
8 F. t! H- P" ^4 Y! z当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时7 ]3 n; e  ^& z! p4 p& |
    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!
8 S5 v2 t$ e* A- V1 z0 N, a) x
& Q- ]3 j. t. Z2 t7 W7 V1 Q5 Y' m当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
! m; o# K" Y) z  c    解析:
! w0 w9 k& ]$ g+ U5 E
* [+ |8 D$ D. F. w. H, B当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时1 y- [8 s% r8 h; Z) x- C
<!--#includ file="conn.asp"-->
4 ]$ i% ]4 A4 S1 ^8 e1 f6 `) g* k& H' @
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
: o1 F7 e/ X3 j    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。
3 s& @% y, e9 i* f  @% e9 C4 U; K9 u! \/ \. c4 @- s' E# c
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
6 f) K9 L, I2 d; ~  Y# t    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。6 W' S. ^; D0 u/ [# a+ c3 Q- ]

5 D& P" R. K: g当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时. H$ _" }( H# e3 m& u8 U
    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。
9 a5 P# T0 V# P% E9 c$ p+ {$ ~9 t2 H0 d




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2