人家既然没有发表我就发出来吧毕竟文章
原创内容太少技术含量也没有多高
//还是要象征性
加个版权转载请注明b0r3d's blog http://www.b0r3d.org最近对IIS
些安全设置做了下整理总结在查找配置写权限漏洞得时候网上介绍资料不多现在就只有自己动手配置了配置写权限漏洞时候又对写权限有了些新认识网上对写权限得介绍般都为由于服务器得配置不当用户可以匿名上传些文件或者是代码常用利用工具有zwellIIS put scanner和老兵写权限利用工具本文就不再对利用思路方法进行介绍了介绍得文章或者是动画已经很烂了 写权限漏洞主要跟IIS
webdav服务扩展还有网站WebSite些权限设置有关系下面我们先看下webdav些官方介绍 允许客户发布、锁定和管理 Web 上
资源它允许客户端执行以下操作: -
=MsoNormal style="MARGIN: 0cm 0cm 0pt">处理资源
处理服务器上 WebDAV 发布目录中资源例如具有正确权限用户可以在 WebDAV 目录中复制和移动文件
=MsoNormal style="MARGIN: 0cm 0cm 0pt">修改属性修改和某些资源相关联属性例如用户可写入并检索文件属性信息
=MsoNormal style="MARGIN: 0cm 0cm 0pt">锁定资源和解除资源锁定以便多个用户可以同时读取个文件不过每次只有个用户能修改该文件
=MsoNormal style="MARGIN: 0cm 0cm 0pt">搜索位于 WebDAV 目录中文件内容和属性 全称是(Web-based Distributed Authoring and Versioning基于Web分布式创作和版本控制)这是套扩展HTTP协议允许用户共同编辑和管理上文件远程网络服务器使应用
可以直接写文件在web服务器上在内容管理系统方面应用得比较多官方网站WebSite是www.webdav.org 我们如果在IIS--web服务扩展下开启webdav服务
话IIS put scan就会返回存在漏洞,否则就返回没有漏洞
最新评论