Windows 2003 Enterprise Edition IIS6 .ASP目录执行缺陷

写这篇文章的前几天我发现了IIS6更大的漏洞,让我高兴了整整24小时.可惜的是那个漏洞是我手工配置出来的.实现方法是将ASP后辍改为JPG后辍,将JPG复制到IIS发布目录中,发现JPG中的ASP代码会正确执行。看我是如何配置出的错误,这个方法也可以用来配置后门。
Windows 2003 Enterprise Edition是微软一款新推出的操作系统。 Windows 2003 IIS6处理文件夹扩展名的时候出错,导致放在该目录中的JPG图片会自动执行其中的ASP代码。当JPG后辍的文件含有ASP代码都会被执行。当然不只是JPG后辍才行。

IIS6在处理含有特殊符号的URL都会被屏蔽,默认并不支持ASP脚本运行,相对WIN2000要安全些.经过几天的努力发现新建一个.asp后辍的文件夹,将asp木马文件放在该文件夹中,asp文件可以用JPG后辍。并不影响JPG中的ASP代码运行。

Windows 2000 IIS5处理JPG图片中如包含有Html及ASP代码,只会执行Html代码,而不会执行JPG图片中的ASP代码。所以Windows 2000 IIS5中不存在这个漏洞。这个漏洞很明显是由.asp结尾的文件名称所导致,属于IIS6设计缺陷。

手工启用ASP脚本步骤如下:点击Internet信息服务(IIS)管理器àWEB服务扩展à启用Active Server Pages 启用之后你的服务器就可以运行ASP脚本。

欢迎更多朋友与我交流,谢谢海阳顶端网编写的asp木马。

如果你复制微软这个缺陷,请保留发现作者相关内容…….谢谢!   本来这篇文章授权黑客X档案发布,但发现很多人修改原作者就变成别人的作品啦.靠~

(0)

相关推荐

  • Windows 2003 Enterprise Edition IIS6 .ASP目录执行缺陷

    写这篇文章的前几天我发现了IIS6更大的漏洞,让我高兴了整整24小时.可惜的是那个漏洞是我手工配置出来的.实现方法是将ASP后辍改为JPG后辍,将JPG复制到IIS发布目录中,发现JPG中的ASP代码会正确执行.看我是如何配置出的错误,这个方法也可以用来配置后门.Windows 2003 Enterprise Edition是微软一款新推出的操作系统. Windows 2003 IIS6处理文件夹扩展名的时候出错,导致放在该目录中的JPG图片会自动执行其中的ASP代码.当JPG后辍的文件含有AS

  • Windows 2003 IIS 不支持ASP问题的解决方法

    特别注意:当我们在没有配置好iis的时候,不要安装补丁了,组件之类的东西,先把网站弄开通了,再安装补丁,尤其是.net组件. HTTP 错误 404 - 文件或目录未找到. Internet 信息服务 (IIS) 第一步,启用Asp,进入:控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许 控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 ->

  • Windows 2003 全优化

    总体优化方案 Microsoft(R) Windows Server 2003 Enterprise Edition WIN2K3,推出也有一段日子了.以前一直用WINXP,感觉还是很爽的,从游戏到网络可说是畅通无阻,彻底告别了WIN9X的篮屏时代,和WIN2K对游戏支持不好的缺点. 有很多人说WIN2K3太烂,或是说不适合家用.烂不烂的我不敢多说,相信不是专业的也没权利评判这个东西.不适合家用?虽说是Server版的,但就我这一个月的使用来看,并不逊色于XP系统,而且就速度上说比XP还要快呢!

  • Windows 2003 IIS 6.0 搭建可建虚拟机的asp+.net+php+jsp+mysql+mssql

    1.预安装好windows 2003 打好sp2以上补丁  安装好IIS6.0  并选择asp和.net支持.IIS默认支持asp.net 1.1 asp.net 2.0可以在网上下载安装.2.安装php.mysql及mssql.网上很多正确介绍.这里就不讲了.重点讲jsp的环境搭配.3.1.安装JAVA 2 SDK 我装在D:\JDK目录下.接下来设置环境变量,这一步很重要,别忘了:JAVA_HOME = D:\JDKCLASSPATH = D:\JDK\LIB\tools.jar;D:\JD

  • Windows Server 2003下配置IIS6.0+php5+MySql5+PHPMyAdmin环境的图文教程

    Windows Server 2003下配置IIS6.0+php5+MySql5+PHPMyAdmin环境的图文教程

    配置环境: 操作系统:Windows Server 2003 sp2企业版 Web服务器:系统自带的IIS6.0 所需工具: PHP:php-5.2.12-Win32.zip(官方网址:http://www.php.net) 数据库:mysql-5.0.22-win32.zip(官方网址:http://www.mysql.com) 数据库管理:phpMyAdmin-3.2.5-all-languages.zip(官方网址:http://www.phpmyadmin.net) 配置过程: 首先我们

  • windows 2003服务器安装 IIS6.0和IIS自带FTP服务器图文教程

    windows 2003服务器安装 IIS6.0和IIS自带FTP服务器图文教程

    写这篇文章主要是帮助刚刚接触服务器或云主机的小白,绝大多数新手刚接触windows 2003服务器都是安装的IIS服务器,下面我们就2003服务器来安装IIS以及IIS自带的FTP服务器做个详细完整的图文教程. 以下步骤请远程登录服务器后再操作 1.下载IIS6.0安装包,点击下载IIS6.0安装包,比如下载到D盘 2.将这个压缩包解压 3.依次点击远程桌面左下角的 开始--控制面板--添加或删除程序 在点击 添加/删除windows组件(A) 4.在windows组件里面找到应用程序服务器,并

  • IIS7/IIS7.5/IIS8网站目录执行权限设置方法(与IIS6不同)

    IIS7/IIS7.5/IIS8网站目录执行权限设置方法(与IIS6不同)

    在IIS6.0中,对于站点每个文件夹,我们都可以在其属性对话框中将执行权限设置为无,当程序对文件夹有写入权限时,这个设置非常有用,它能防止用户上传脚本文件(.asp,.aspx)到服务器并运行: IIS7也有这样的功能,但设置方法不太一样,步骤如下: IIS7/IIS7.5中目录执行权限的设置方法 我们在建站的时候,通常有些目录必须给写入权限,这个时候这些目录就很可能被人写入脚本文件,为了将安全性维护得更好,我们可以关闭这些有写入权限的目录的脚本执行权限.IIS6的时候,我们很容易找到关闭的地方

  • iis、apache与nginx禁止目录执行asp、php脚本的实现方法

    iis、apache与nginx禁止目录执行asp、php脚本的实现方法

    一般iis中比较简单,iis6如下图所示即可: 很多购买虚拟主机空间的用户,如果空间商提供了在线管理程序,也可以实现.具体的看下帮助即可. 需要知道目录名称,设置即可. iis7+禁止执行php等 IIS7也类似于IIS6.0,选择站点对应的目录,data.uploads及静态html文件目录,双击功能试图面板中的"处理程序映射"(如图2) 在"编辑功能权限--"中,我们直接去除脚本的执行权限即可.(如图3) apache中一般是通过.htaccess文件来限制 A

  • Windows 2003 工作手册(3)

    二十一.如何对传入的连接禁用 NetBT 代理    版权所概要 默认情况下,在基于 Windows XP 和 Windows Server 2003 的系统上,对传入的远程访问服务 (RAS) 或虚拟专用网 (VPN) 连接启用 Netbios 代理.此设置允许 RAS 客户端在其所连接的局域网 (LAN) 中解析 Netbios 名称.在被配置为 RAS 或 VPN 服务器的计算机上,如果从命令外壳程序中运行 Ipconfig /all 命令,将返回信息显示WINS Proxy Enable

  • Windows 2003 64位正式版抢先体验

    Windows 2003 64位正式版抢先体验

    经过长时间的测试Windows Server 2003正式版终于要和大家见面了,因为我是Windows Server "R2"的测试员所以率先下载到了正式版本的Windows Server 2003 SP1版,打上了微软即将推出"R2"功能包.下面先让大家看看Windows Server 2003 R2 Enterprise x64 Edition的下载页面吧. Windows Server 2003 R2 Enterprise x64 Edition的下载页面 顺

随机推荐