中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]

作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:/ y/ N( i5 ~3 X6 u
& ~' ^4 J0 E# s% S
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时: ~0 O+ a. c! [# H  D
<!--#includ file="conn.asp"-->
/ u) N2 p, F- t: ^7 P; g" C, f! R9 w
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
1 ?! B3 U+ M/ M7 S7 y( f7 ?    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!* b0 F+ v& ^7 q& P& f: d
3 _9 n- P9 z; |0 a4 v
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时7 a$ I: H0 |/ G* f( u/ Q
    解析:4 n( Q( S5 b0 N; {. c

/ N1 h8 o! o7 Z3 ^/ T- Q1 y8 }! r当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
" J1 k5 e7 `2 E5 w<!--#includ file="conn.asp"-->
$ s! G4 l* i! u. T
$ f4 ^" E( Q8 h2 @; `当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时( }- N  z) J4 V( x+ E1 y
    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。
3 B, a! ]1 i8 v4 z. x( J# d& r
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时6 m5 E8 p- t) z9 E
    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。( X9 W' j* i6 \- B: c: u
- U3 e/ t8 a" u
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时' y- a4 [. x5 |6 W! _5 f
    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。8 F* C& I1 Q) l* M6 Y6 s& p
& d4 Q" d) g7 @) d/ F. N- Z8 c3 y/ R





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2