1. 程式人生 > >滲透記錄——iis7.5漏洞沒有iis6的解析漏洞

滲透記錄——iis7.5漏洞沒有iis6的解析漏洞

拿到一個後臺,剛開始不讓傳馬,apsx偽裝成jpg,提示安全錯誤,含有html編碼,看來必須要用正常圖片。於是找了小圖片,用copy /b d:\aa.jpg+d:\xiaoma.aspx  luo2.jpg  ,如圖


合成了一個含馬的正常圖片(注意順序:圖片+馬是修改檔案頭,馬+圖片是修改圖片尾)直接修改了檔案頭,發現可以上傳。開心呀,於是就花式作死,各種嘗試改字尾……


用菜刀連線,連線菜刀,提示405錯誤,如下圖,

(注意看伺服器是iis7.5)查了很多,以為管理員限制了,不支援post方式的小馬,又積極的花式嘗試各種方法,最後看到貼吧兩個人交流才發現是iis7沒有這種解析漏洞,”iis還是把它當做jpg解析了,因為對jpg不能使用post方法所以就是method錯誤"。醉啊、浪費了一下午。

目前還在各種嘗試中…………

————————————————————————————————————

總結:iis7.5的漏洞沒有iis6.0解析漏洞。不要看到東西就上手,提前瞭解伺服器的各種資訊,可以省很多麻煩,磨刀不誤砍柴工。

——————————————————————————————————

再加一點:如果jpg+aspx還是不行的話,那可能網站對於檔案頭和檔案尾都要檢測

參考http://www.cnhonkerarmy.com/thread-150315-1-1.html

ps:發現好多大神都是才18歲,21歲的為自己的菜鳥技術感到恥辱。。。