在IS5x和6.0下对于录名称为“xasp”中的任何内容,包罗“1.jpg”如许的图片文件,都会被当作ASP文件解析。例如“/example.asp/1.jpg”,这本来是一个图片资源,但是IS服务器会将其当作
ASP
资源解析。也就是说,假设攻击者可以控制在服务器上创建的目录名称的话,纵然它上传的是一张图片,仍然可以实现入侵。那么有人会说,怎么会有网站支持用户创建目录呢?还真有。早期很多网站的通用编辑器都是可以让用户自己去创建目录的,如EWebEditor、CKFinder、Fckeditor、KindEditor
等。由于很多网站都采取这种编辑器,于是也都存在允许攻击者恶意创建目录的权限。只不外一般情况下,攻击者想要接触到这些编辑器,必要首先拿到管理员密码,因为这些编辑功能往往只向管理员开放。如果网站利用的
IS 服务器文件夹解析漏洞,那么联合编辑器的功能,就很有可能陷落。
接着,在Web 目录下创建一个文件夹,名为“a.asp”。文件夹内放置一个文件,定名为“1.jpg”。然后在该文件内,编写一段非常简朴的 ASP
代码“<%=now()%>”。如果文件可以或许被解析为ASP文件,则可以打印出当前系统时间。
接下来,为服务器开启ASP解析功能,这是所有ASP网站都必须启用的。然后访问创建好的件,可以看到本应该解析为图片的资源被当作ASP解析乐成了,打印出了系统时间。
IIS6.0下,会将“1.asp;.ipg”如许的文件当作 ASP
文件解析。在盘算机对文件扩展名的明白上来说,文件扩展名是以最后一个“.”的背面内容为据的,这个文件被网站过滤步调明白成了图片。而现实上,IIS
会以为分号便是结尾,背面内容被“截断”了,以为这是 ASP 文件,于是产生了差异,差异便是不安全。
这种情况下,纵然网站利用白名单的方法进行判断,只允许上传“.jpg”扩展名的文件,攻击者仍然可以实现入侵。这种方法是当年WebShell变形绕过的“网红”方法。在IS服务器的
Web 下创建“a.asp;.jpg”文件,由于分号截断了背面的“jpg”,从而导致文件被当成了ASP文件解析,如图5-5所示。
