当前位置: 首页 > news >正文

常用中间件漏洞

IIS6

IIS7

安装

控制面板-----打开关闭windows功能

添加角色-----添加IIS

启动之后访问localhost

复现

服务器换成IIS7

访问报错

大概就是缺少CGI模块

问题解决

添加php-cgi的路径

添加脚本映射

修改php.ini文件

cgi.fix_pathinfo=1

然后设置一个图片

访问

在后缀加上/.php

触发

修复建议

配置cgi.fix\_pathinfo(php.ini中)为0并重启php-cgi程序

身份验证漏洞

匿名身份认证关闭

然后访问

payload

http://192.168.192.128:8980/admin:$i30:$INDEX_ALLOCATION/syn.php

配上混合解析漏洞

http://192.168.192.128:8980/admin:$i30:$INDEX_ALLOCATION/syn.png/.php

混合利用

如果禁止上传php文件,可以考虑混合漏洞利用

上传aspx

解析乱码

修复建议

1、IIS 7.5配置.net framework 2.0不受上述(2)的绕过影响
http://www.lryc.cn/news/284493.html

相关文章:

  • Windows系统使用手册
  • mp4文件可以转成mp3音频吗
  • Java-IO流【登录注册小项目】
  • 数字化金融时代:探讨全球金融科技创新的最新动态
  • LeetCode:206. 反转链表
  • linux 安装nginx
  • 1.C语言——基础知识
  • Redis 存在线程安全问题吗?为什么?
  • 无人机测绘助力实现高效、安全的城市规划
  • 实验七 RMAN恢复管理器
  • 未来 AI 可能给哪些产业带来哪些进步与帮助?
  • Java医院信息管理系统
  • QT+OSG/osgEarth编译之八十:ive+Qt编译(一套代码、一套框架,跨平台编译,版本:OSG-3.6.5插件库osgdb_ive)
  • Webpack5入门到原理3:基本配置
  • 全开源多城市同城信息小程序源码(Laravel 框架),同城分类信息发布便民小程序系统【非DZ】
  • PHP学习笔记1
  • C语言从入门到实战——文件操作
  • 数据结构中的一棵树
  • C++中的static(静态)
  • 常见框架漏洞
  • Python文件自动化处理
  • js变量提升
  • C++ 设计模式之策略模式
  • (202401)深度强化学习基础2:策略梯度
  • bgp大AS小AS选路-联邦ebgp选路
  • beego API 自动化文档
  • 百度搜索Push个性化:新的突破
  • 【Oracle】ORA-32017和ORA-00384错误处理
  • MySQL三大日志
  • 力扣每日一练(24-1-20)