IIS6的默认配置漏洞会把cer、cdx、asa作为asp代码来解析

后缀解析漏洞

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

/test.asp;.jpg 或者/test.asp:.jpg(此处需抓包修改文件名)

IIS6.0 都会把此类后缀文件成功解析为 asp 文件。

只需要在text.asp后面加上一个;符号 便可解析成asp 而成功上传.jpg的漏洞

IIS6的文件解析漏洞 Safe 第1张

IIS6的文件解析漏洞 Safe 第2张

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄