3. 上传文件漏洞
进了后台之后能做什么呢?看左边相应的功能就知道啦,有样式管理、文件管理以及用户名密码修改,黑客感兴趣的当然是拿到网站的webshell权限啦。在该组件处理上传图片功能的upload.asp文件里看到代码如下:
' 任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
这样的过滤看起来很安全,实际上IIS默认用asp.dll处理的不仅仅有asp还有asa、cer、cdx、htr等等,如图3:
所以我们可以上传cer格式的木马。当然在上传之前我们得改一下样式设置,系统自带样式不允许对设置进行修改删除,但允许查看设置!你可以先"拷贝一标准样式"然后对其设置进行修改以达到快速新建样式的目的,在再其中进行设置,在图片类型那里添加一个asa格式,前面用"|"隔开,如图4:
|
|
|
图4
提示:试试键盘 “← →” 可以实现快速翻页
每日精选
-
作为荣耀2026年开年重磅力作,荣耀Magic V6已确认将于3月1日在巴塞罗那MWC 2026展会开幕前夜全球首发,国内3月中旬正式开售,实现全球同步布局。
-
近日,小米官方正式官宣,旗下旗舰机型小米17系列将全面进军全球市场,并定于2月28日在西班牙巴塞罗那举办全球发布活动。
-
华为手环11系列拥有标准版和Pro版本可选,标准版可选聚合物表壳以及铝合金表壳,Pro版采用铝合金表壳。
-
海盗船近期推出FRAME 4000D VAULT SERIES限量版机箱,采用动态变色幻彩漆面与全球限量1337台的设定,共包含“新星”(Nova)和“银河”(Galaxy)两款设计,售价均为139.99美元,约合人民币968元,现已正式上市。
-
依旧受AI热潮的深度影响,8GB显存显卡重回主流赛道;NVIDIA曝光定位更高的旗舰显卡RTX 5090 Ti,超高功耗却仅带来有限性能提升;微星则瞄准二次元群体,宣布与动漫《葬送的芙莉莲》联名,将推出限量款显卡。
-
在春节长假过后,世界移动通信大会MWC 2026即将在巴塞罗那开幕,大会主题为通信技术,但手机产品依旧是大会的重点关注目标,各大手机厂商也会在展台中展出主力机型。
-
小米表示将在新品发布会发布一款超薄磁吸式移动电源,为之前在国内发布的小米金沙江磁吸充电宝的橙色款。
-
小米将在2月28日推出针对海外市场的小米17 Ultra徕卡版。目前,X平台爆料者已经放出了该机的真机照片与实拍样张,该机在设计细节上与国行版存在明显差异。
-
REDMI产品经理张宇声称,REDMI Turbo 5 Max 1TB版本备货极少,卖完就没了,如果真想买,可以线下门店问问,可能个别门店还有点库存。
-
据渠道消息透露,国内厂商已经跟进防窥屏,已经开始对这种屏幕进行测试,预计最早在9月份,就会有搭载防窥屏的新机进入市场。
点击查看更多
|
网友评论