龙空技术网

IIS6.0网站写权限漏洞入侵

河南丶梁先生 106

前言:

此刻朋友们对“iis6漏洞”大约比较注意,姐妹们都需要了解一些“iis6漏洞”的相关文章。那么小编在网络上收集了一些对于“iis6漏洞””的相关内容,希望咱们能喜欢,各位老铁们快快来了解一下吧!

IIS写权限漏洞,说白了就是管理员对IIS的错误配置所造成的问题:

IIS服务器扩展里面开启了webdav,

网站权限配置开启了写入权限与脚本访问权限,

今天我在windows server2003里面搭建好试验环境。

把webdav和写入权限与脚本资源访问权限给开启,

主目录属性-安全中来宾用户的权限为完全控制。

首先我们使用IIS PUT Scaner扫描,

发现PUT为yes说明存在该漏洞

如果把webdav禁用掉,立刻就会在put下面显示NO,这说明是webdav组件的问题。

下面我们使用iisput漏洞专用工具进行入侵,桂林老兵的iiswriter。

(1)选择options方法探测主机所支持的请求方法

选put上传我们的大马点提交数据包

上传完成

提交完名称为test.txt。接着我们需要把test.txt改为后缀为.asp的

用move移动模式来改,这里我们就很简单的拿到了webshell。

标签: #iis6漏洞