亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網(wǎng)絡,我們將竭誠為您提供優(yōu)質(zhì)的服務! 誠征網(wǎng)絡推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯(lián)系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業(yè)務咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發(fā)消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術(shù)支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當前位置:首頁 >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

IIS寫權(quán)限利用續(xù)以及寫權(quán)限漏洞來由解釋

添加時間:2010-12-18  添加: admin 

很多人也許覺得IIS PUT這玩意不值一提啊...其實不然,身在乙方,給客戶做安服的時候總是遇到IIS寫權(quán)限的問題,一方面WVS7.0已經(jīng)可以掃描并且使用POC成功寫入漏洞目標,另一方面無聊的土耳其或者印度尼西亞黑客總是喜歡利用寫權(quán)限上傳txt或者html到漏洞目標,以示對方的hack技術(shù)的強大。

目前大家所見到的IIS寫權(quán)限利用,其實說白了是菜鳥管理員對IIS的錯誤配置問題(2個錯誤配置造成):
1.WEB服務器擴展里設置WebDAV為允許;
2.網(wǎng)站權(quán)限配置里開啟了寫入權(quán)限。

至于WebDAV,看看百度百科的介紹:

WebDAV (Web-based Distributed Authoring and Versioning) 一種基于 HTTP 1.1協(xié)議的通信協(xié)議.它擴展了HTTP 1.1,在GET、POST、HEAD等幾個HTTP標準方法以外添加了一些新的方法,使應用程序可直接對Web Server直接讀寫,并支持寫文件鎖定(Locking)及解鎖(Unlock),還可以支持文件的版本控制。

很多微軟自帶的客戶端工具可以發(fā)布與管理Web上的資源,就是通過WebDAV了;但是,正常的Web網(wǎng)站一般情況下是用不到的,因此,一般情況下根本沒有必要允許WebDAV。
至于寫權(quán)限,大家都明白,寫權(quán)限就是允許PUT,與網(wǎng)站自身運行的權(quán)限無絲毫聯(lián)系,如果開啟了,那就是沒有一點安全意識了。

于是想說的是,現(xiàn)在的情況下所謂IIS寫權(quán)限漏洞其實是人禍,一個合格的服務器管理員不應該犯這樣的錯誤的...

漏洞的利用大家都清楚,出來好多好多年了,大家都知道用zwell的IIS put scanner和老兵的寫權(quán)限利用工具去獲取一個webshell,其實是先PUT一個txt,然后MOVE成asp,但這篇文章的最后遺留了一個問題:在X-Powered-By: ASP.NET即.NET環(huán)境下無法MOVE成功(當時還沒有分析出是什么特定的環(huán)境的導致這個問題的,后來才知道是.NET環(huán)境),返回207 Multi-Status。

這個問題當時糾結(jié)了好久,一直沒人回答。直到后來IIS6.0文件解析漏洞的出來,于是自己的問題被自己解決了,用了好久了,好像也有人提過了:
先PUT一個txt到服務器,如:oldjun.txt,然后

MOVE /oldjun.txt HTTP/1.1
Host: www.oldjun.com
Destination: /Article/UploadFiles/201012/20101217103833650.jpg

報文可以用nc送過去,然后返回的http狀態(tài)碼為202,則證明MOVE成功了。

如果沒打開寫權(quán)限,你可以使用這個工具遍歷目錄瀏覽文件;若開啟了寫權(quán)限,則輕輕松松網(wǎng)站盡在你的掌握中..

關(guān)健字:IIS,漏洞

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國增值電信業(yè)務經(jīng)營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網(wǎng)站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網(wǎng)安 舉報有獎  警警  手機打開網(wǎng)站