中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]
作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:
3 N0 |# p" o% h' |! E9 k. v! P  x4 e7 b( L) P' @. \" ]
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时/ E8 M; j' s- s' E  m
<!--#includ file="conn.asp"-->" p4 e, s% {  L7 }6 _

* ^5 Y! f; J* C6 h- D1 ?/ o( o当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时) C# S  W7 T/ f! c
    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!
' j* O$ g! r! |; s' X+ }* w# }; r& l2 `2 H
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时# }2 v2 m* `( z( s) k
    解析:4 a' I/ J( r5 q) t& ]3 f

; W1 T+ ~( n  ]3 x" o1 k当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时$ r7 x3 I1 l! ?1 w! s& W6 m; h; G
<!--#includ file="conn.asp"-->8 E7 w1 j$ {# Z, {8 c/ h
1 ~# D5 r& b, H
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
1 N( }) s* E3 Q. J; r% A4 B, T    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。
; Q* c, G$ m9 t* F5 s- |6 B6 M5 e5 i! b! |1 I/ D* l% B, d1 q
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
/ a* Y3 ~( @8 h0 J5 Y7 r    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。
/ `0 z8 B: T# d; W! O; J
) J. Y3 \4 T! i2 \* {# @" n当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
/ L  t+ B7 K2 T* i. O7 T: @' D, }    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。
, O; q4 y$ E1 U. u
' j5 z' R# n3 p0 B1 B+ B



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2