一颗星难度

https://www.mozhe.cn/bug/detail/Umc0Sm5NMnkzbHM0cFl2UlVRenA1UT09bW96aGUmozhe

image.png
image.png

可以查看到IIS是6.0,众所周知IIS6.0有解析漏洞,先看一下请求详情。

image.png

ASP是上传不了的,经过测试是白名单上传,只允许JPG,TXT此类文件的上传。

那么直接考虑试一试IIS的解析漏洞。

IIS 6.0解析利用方法有两种

1.目录解析

/xx.asp/xx.jpg

2.文件解析

sp.asp;.jpg

第一种,在网站下建立文件夹的名字为 .asp、 .asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。

例如创建目录 sp.asp,那么

/sp.asp/1.jpg

将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。

第二种,在IIS6.0下,分号后面的不被解析,也就是说

sp.asp;.jpg

会被服务器看成是sp.asp

还有IIS6.0 默认的可执行文件除了asp还包含这三种

/sp.asa
/sp.cer
/sp.cdx

乌云上的IIS 6.0解析漏洞利用案例

http://www.wooyun.org/searchbug.php?q=IIS6.0

攻略

直接使用目录解析漏洞即可,这里是目录是可控的。

image.png

蚁剑连接之。

2bd47edb5d78143aecef2b5dae68c9c.png

在WWWroot目录找到key值。

image.png

完事~。