中国网络渗透测试联盟
标题:
网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
[打印本页]
作者:
admin
时间:
2012-9-5 15:01
标题:
网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
方法:上传一个 shtm 文件,内容如下:
6 a7 q; E5 h- `; c7 ?
& ?4 t( j6 R& o" Z) E3 q& l, g0 h- b
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
; {5 ` I9 G' k2 @1 o
<!--#includ file="conn.asp"-->
" ]/ Z B& t# f7 `# A8 J1 j
. P+ T8 |0 C; ?' j7 c
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
* ? P+ C3 `5 v- R9 `$ @6 @
conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!
2 o8 P/ Q1 t; o
5 K' o/ O# t9 B% X4 i) l0 g
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
1 ~& S+ o4 B. L* y. S, K* y; H! ~
解析:
6 h* _. c, b7 D2 I8 E x5 K, c7 z
' ?$ K; E0 z$ n
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
7 a) |- B9 s4 H6 B: v
<!--#includ file="conn.asp"-->
$ ?/ D2 ?) d: \
3 o* w" O Q( k3 |" B
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
& p) W8 E9 F0 V4 W( l
其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。
! Z# }( `9 n4 e3 X% r: c
# `, l' A" R+ i) Z" f
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
) F" _( D- O4 X( f2 F# c
前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。
; z+ T7 s% x* }6 v/ }4 J/ E
9 Y7 C& T: R l/ s! f2 @$ E; N3 T
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
$ ]1 o. K0 c4 H' a/ j
比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。
" d7 o. M# w6 C$ a3 ~
6 ^. `: c% d3 u1 Q& a5 [/ u
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2