评论:新Win2003 IIS6解析漏洞,大家可以
参考一下,注意防范。
严重程度:高
威胁程度:突破格式限制
错误类型:没有
提示 使用
模式:客户端模式
受
影响的
系统 微软Windows Server 2003 IIS6.0
详细说明
改变
上传文件名x.asp;.webp
直接IE访问解析到ASP,即改变ASP壳为x.asp;
图片会自动解析到ASP在微软Windows Server 2003 IIS6.0环境。
测试代码
一个隐藏的shell将shell的
后缀更改为asp。
两个上传的shell只对站点上传后的文件名保持不变。
三x.aspx;Jpg X.php;.webp。
解决方案
…
通过x2xnet