3. 上传文件漏洞
进了后台之后能做什么呢?看左边相应的功能就知道啦,有样式管理、文件管理以及用户名密码修改,黑客感兴趣的当然是拿到网站的webshell权限啦。在该组件处理上传图片功能的upload.asp文件里看到代码如下:
' 任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
这样的过滤看起来很安全,实际上IIS默认用asp.dll处理的不仅仅有asp还有asa、cer、cdx、htr等等,如图3:
所以我们可以上传cer格式的木马。当然在上传之前我们得改一下样式设置,系统自带样式不允许对设置进行修改删除,但允许查看设置!你可以先"拷贝一标准样式"然后对其设置进行修改以达到快速新建样式的目的,在再其中进行设置,在图片类型那里添加一个asa格式,前面用"|"隔开,如图4:
|
|
|
图4
提示:试试键盘 “← →” 可以实现快速翻页
每日精选
-
4月20日14:30,华为Pura系列及全场景新品发布会,我们不见不散。
-
OPPO × 哈苏影像新品联合发布会,4月21日19:00,相约成都,敬请期待!
-
PChome4月19日消息,驰为今日在海外市场正式推出AuBox X迷你主机,搭载英特尔酷睿Ultra 7 256V处理器与Arc 140V核显,主打高性能与小体积的平衡,首发价759美元(约5190元人民币),适合移动办公和轻创作场景。
-
PChome4月20日消息,全球PC硬件市场迎来多重行业级变化,消费级CPU零售销量跌至十年最低;Intel下一代Nova Lake处理器完整规格泄露;Linux 7.0内核正式上线,深度适配全新软硬件生态;长江存储一季度营收同比翻倍
-
PChome4月20日消息,联想小新Air 14 2026将于5月19日在“天禧AI一体多端全场景新品超能之夜”正式发布,主打极致轻薄与科技美学。同场还将推出YOGA Air 14 Ultra、moto折叠屏手机及拯救者游戏本等全场景AI产品。
-
PChome4月20日消息,泰坦军团26.5英寸G27T6T显示器已于今日正式开售,核心亮点为三星QD-OLED面板、360Hz超高刷新率及0.03ms响应时间,叠加国家补贴后到手价3298.5元,性价比突出。
-
PChome4月20日消息,EPOMAKER今日推出HE108磁轴键盘,以108键全配列设计填补磁轴市场大尺寸产品空白,0.2ms超低延迟和500小时续航,海外定价95.99美元(约655元人民币),国行版本预计更亲民。
-
轻薄本便携耐用,却难以应对3A游戏、4K剪辑与本地AI运算等高负载需求。技嘉AORUS RTX 5060 Ti AI BOX显卡坞完美破解这一痛点,凭借雷电5高速传输与桌面级强悍显卡,轻松释放满血性能,让轻薄本一步升级为全能设备。
-
OPPO方面宣称,Find X9 Ultra的视频能力全面跃升,不仅以全大底专业视频镜头组,提供焦段自由与构图自由。更首发全新O-Log2,融入专业log创作工作流,并首发原生支持3D LUT导入与烧录。
-
PChome4月20日消息,戴尔Alienware星舰16X 2026款游戏本于今日正式上市,Ultra 7 270HX Plus款原价17499元、Ultra 9 290HX Plus款原价19499元,可在此基础上享受国家补贴等优惠,主打高端电竞体验。
点击查看更多
|
网友评论