中国网络渗透测试联盟

标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时 [打印本页]
作者: admin    时间: 2012-9-5 15:01
标题: 网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
    方法:上传一个 shtm 文件,内容如下:
. A, |5 q* [" G0 Q1 u5 T2 N6 i* J1 c2 N; `
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
0 O7 B) P) i9 k$ O8 D<!--#includ file="conn.asp"-->* H5 X& P: f% v; @

- H) C" g3 U3 \当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时2 y% R; v) L9 ]9 i- X
    conn.asp 就一览无遗,直接请求这个 shtm 文件,数据库路径也就到手啦!
9 j2 A: I+ @$ Q9 G) u7 k/ r$ M- F6 M
当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时/ ?  Z/ q9 o9 t, E1 U
    解析:% p. B9 c' A+ A( q' m/ R

, b7 X; w& \7 ?# m当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时0 q* u* L2 ~# H, Z0 `. h+ V& B( o
<!--#includ file="conn.asp"-->+ O" ?2 b2 v$ c- Q' E# R

) E$ z+ Q6 Y2 Z, {当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时
, V) w/ m  L( q7 r1 T    其作用是将 "conn.asp" 内容拷贝到当前的页面中,就是一条 SSI 指令。当访问者来浏览时,会看到其像 HTML 文档一样显示 conn.asp 其中的内容。
6 x, T2 \5 {$ K& T% c' ~
( S3 |2 q4 M4 H" O: O; r) r8 D2 U当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时: p& `' b% j5 q. M3 X6 g& F7 Z6 _8 K
    前提:服务器的对 shtm 或者 shtml 扩展没有删除!要组件支持才行,几率很小。在 03 系统 IIS 6.0 是默认关闭 SSI 服务的,碰到 BT 的 ewebeditor 时可以试试。8 y0 f; _2 B! v0 O# u+ M

' N  @  `7 m- D5 n/ \/ G当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时7 w& H/ L: Q0 o+ O- {) H
    比方 config.inc.php、config.aspx 等一些数据配置文件,至于 conn.asp 可以为其他。  K. s5 l; H; n) z
( G9 y" m; T- }' X




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2