中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]
作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:& @4 q1 n+ \; A" m- ^# F

) M3 K: l5 m. L# a' ]9 ^; Q当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时6 V! ^- M1 S7 v* _4 F) ]% v
<!--#includ file="conn.asp"-->
7 b1 R7 S& q6 B9 {8 i8 X! S8 F; l& q+ s0 ~. K+ \6 o  Z
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时9 d& v- _+ w: z) T; m' x- W
    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!" f3 y, C) a: S8 F& c$ E" k
! A6 H+ Z! V, H- t4 t& ^" q9 b
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
" s( p2 t8 a' s3 E$ Z0 J    解析:
( Q. J: q7 {' {3 C5 T9 R
$ L; ~  ?0 T" ~8 G' [当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时% g# ]; ?, T* e, A4 s: l' l, d
<!--#includ file="conn.asp"-->7 S5 B: {% v& w: W  L4 x
: g5 R# v* ~1 f5 w$ D9 h7 E
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时9 n* X; T# R7 d0 g- _. y& W7 K/ E& s
    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。0 d+ g$ ^, Q* [9 G
2 g2 \5 T3 I! C- d, d2 B% c) K- U
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
2 G7 O" J% g9 j! K7 J  w    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。) \; r$ B& K1 Y9 ^

! G# p; [" d( N8 k* D- P% L+ B当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
1 e2 i3 G0 {$ o* F: Q9 z5 [    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。5 r% Y* R6 m' c. g6 O" B
1 B" t4 i2 ]' y" s




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2