中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]
作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:
! u& F- K1 C* V) b( l4 q! B3 t$ M$ B/ O( c5 K7 Q# s& C3 H
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时! E$ {8 B9 A- W1 o: u; i$ Y
<!--#includ file="conn.asp"-->
- r, `0 f, H2 {+ n, F' A8 ?( W! o6 p+ [
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
4 I- \  o. `, P6 Y8 G    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!2 l8 G" o4 [/ {
& W' ~1 U- S, t, h
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
( G5 c3 c* P, E& g9 Y, S& v; M+ E    解析:6 `/ y6 M/ W2 G' [; |5 s) y

3 d) I8 H$ m7 U9 c7 T当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
! W/ P5 x+ F* ~9 |<!--#includ file="conn.asp"-->* v# i# C' \+ C

: t& F& A" e3 W9 L当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
1 E2 p, X: P3 ^* U, T    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。
) q5 t! H( Y7 t% k7 Q' p; U6 F, g5 O  q# @2 @' l3 `, {
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时: s% A4 n7 J2 ^9 I* Y- c9 P( s, O* c
    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。) K0 F0 ^9 l6 A

" m7 ?1 \6 E* }, X# Q0 N+ x当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时' Q+ u! l& Y8 `' z9 a, ]
    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。
2 d8 }" U5 f. D4 G" S$ h4 j) ]" J$ v% Q% U. P$ r




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2