中国网络渗透测试联盟
标题:
网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
[打印本页]
作者:
admin
时间:
2012-9-5 15:01
标题:
网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
方法:上传一个 shtm 文件,内容如下:
9 E! C/ G7 R0 r' r* u2 w2 Z$ J1 h
+ N7 _1 e6 u' \' X0 a7 b8 g
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
( ?- \8 {2 G3 z# q% Q* O) e
<!--#includ file="conn.asp"-->
* b9 b& H. r, _( T% M% g
0 b7 V# k! k5 d! }% Y
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
]) F# G4 k+ U4 E5 Q
conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!
1 u( M, _. m; N: w
# Q5 r" i+ \0 m8 ? N' e4 S
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
5 e- k) o8 C$ L* t
解析:
9 H/ I. }" r6 P* ^6 M
0 |: t# A& M4 S& e: d k2 B5 O4 P/ O
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
+ Z$ P+ S9 a$ o8 i* J
<!--#includ file="conn.asp"-->
# b( i" \& V' V* c. Q' T$ h
. }8 Q4 e( L' d6 T( U. p
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
9 |* @/ L, f K: ^$ B s6 i
其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。
! z% F* F, Z- d- d. c Y
" V$ W' H0 t2 X+ \6 t# R- h; Y1 C( |. C
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
% v; `0 _7 L- ]/ y! j
前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。
( E& C4 T. }% B3 Y! M
9 t2 z. Y" L0 N3 o+ V! w2 U0 l
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
* v# T. R' g% L" L0 j5 x
比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。
h0 h$ L9 e. s3 H% Q8 g3 V
8 }# s2 {% y4 y/ K
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2