中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]
作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:
4 _6 Y8 t: k$ m" H2 Z7 c" v" U  n/ l* Q6 f
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时9 ~9 }! H9 G3 ?3 h' g  i
<!--#includ file="conn.asp"-->
' w0 `2 ]& M, Z" i% O* }) G
% r7 U0 u3 z% v) k- @! v当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时9 J0 _" f6 r% r: }
    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!+ v8 \  h( \2 B5 y8 |* c

0 @# S  C! @) j0 C1 K  K当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
4 [1 b3 @1 o4 O3 B1 p7 @    解析:" f2 I- a) K  I( d  O/ {8 [6 h

2 p2 M! h' {: z5 D当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
$ D) {- U4 \, u! s- W6 h7 R<!--#includ file="conn.asp"-->7 X/ T" f& t/ P; l) Y

8 f: [& M( |$ U当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时( ~6 j4 G8 c. w
    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。) T, ?) U- E# d9 U
7 E0 w7 j/ M/ u$ }8 v
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时% u, U1 A# m" g1 S- ^1 T
    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。
: \5 \9 P9 a) T# D) y
& G& R6 h: d9 I$ Y2 ~" J2 ]当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时' r$ N# Z2 u- g- Y/ m2 X
    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。. [/ P& r' c  J' V' H5 n

4 ]! E5 z2 |" s* u9 c; r- L2 d



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2