严重程度:高 威胁程度:突破格式限制 错误类型:不提示 利用方式:客户机模式 受影响系统 Microsoft Windows Server 2003 IIS6.0 详细描述 把上传文件名改成X.asp;.jpg 直接IE访问就解析成ASP,也就是说把asp shell改成X.asp;.jpg在Microsoft Windows Server 2003 IIS6.0的环境下 会自动解析为asp。 测试代码 一 隐藏shell 把shell的后缀改为.asp;.jpg欺骗管理员 已达到隐藏shell的目的 upload/。 二 上传拿shell 只限制于上传后文件名保持不改变的网站。 三 X.aspx;.jpg X.php;.jpg。 解决方案 … by x2xnet
