安全培训教程之------利用IIS写权限漏洞
闲来无事,在内网做个渗透试验。记录下渗透过程,为培训收集一下素材。
一、扫面IIS漏洞
不支持上传功能:
这时候千万不要放弃,经验告诉我,IIS IIS PUT Scanner的上传功能很不给力,完全是鸡肋,可以利用NC或者老兵的IIS写权限利用工具。
上传一个马儿上去瞧瞧:
上传成功。
未完,待续……
备注:
1、IIS PUT Scaner By ZwelL
2、桂林老兵IIS写权限利用程序
----------------------------------------
1、IIS来宾用户对网站文件夹有写入权限
2、Web服务扩展:WebDAV—打勾
3、网站主目录:写入—打勾(可PUT)
4、网站主目录:脚本资源访问—打勾(可COPY、MOVE)
-----------------------------------------
1、IIS PUT Scaner
只要开启WebDAV,PUT都显示YES。无论是否可写入,该工具都无法写入。
2、IIS写权限利用程序
WebDAV未开启
HTTP/1.1 501 Not Implemented
PUT成功
HTTP/1.1 201 Created 或 HTTP/1.1 200 OK
PUT失败(网站主目录:写入—未打勾)
HTTP/1.1 403 Forbidden
PUT失败(IIS来宾用户没有写入权限)
HTTP/1.1 401 Unauthorized
COPY成功
HTTP/1.1 201 Created 或 HTTP/1.1 204 No Content
COPY失败(网站主目录:脚本资源访问—未打勾)
HTTP/1.1 207 Multi-Status
MOVE成功
HTTP/1.1 201 Created
MOVE失败(网站主目录:脚本资源访问—未打勾)
HTTP/1.1 207 Multi-Status
安全培训教程之------利用IIS写权限漏洞相关推荐
- Iis写权限漏洞认识 2010-10-13 10:47:20
Iis写权限漏洞认识 2010-10-13 10:47:20 标签:休闲 iis写权限 职场 http://ynhu33.blog.51cto.com/412835/405064 原创作品,允许转载, ...
- IIS写权限漏洞和XFF刷票原理
IIS写权限漏洞 PUT写入漏洞 此漏洞主要是因为服务器开启了webdav的组件导致的 1.扫描漏洞,yes,可以PUT: 2.用老兵的工具上传一句话文件test.txt,然后move改名为shell ...
- IIS写权限漏洞原理利用工具手动版
很老的东西了,严格的说不是漏洞,只是设置不善造成的Bug.八百年遇不到一会,结果前几天不幸碰上了. 用JSKY扫描人家的站,结果扫描器居然直接把人家整站给删了= =#(这也是百年不遇吧....囧,我猜 ...
- IIS写权限漏洞 (HTTP PUT方法利用)
该漏洞的产生原因来源于服务器配置不当造成,利用IIS PUT Scaner扫描有漏洞的iis,此漏洞主要是因为服务器开启了 webdav的组件导致的可以扫描到当前的操作,具体操作其实是通过webdav ...
- IIS写权限漏洞————HTTP PUT 方法利用
该漏洞的产生原因来源于服务器配置不当造成, 利用IIS PUT Scaner扫描有漏洞的iis,此漏洞主要是因为服务器开启了 webdav的组件导致的可以扫描到当前的操作,具体操作其实是通过webda ...
- IIS写权限利用续以及写权限漏洞来由解释
很多人也许觉得IIS PUT这玩意不值一提啊-其实不然,身在乙方,给客户做安服的时候总是遇到IIS写权限的问题,一方面WVS7.0已经可以扫描并且使用POC成功写入漏洞目标,另一方面无聊的土耳其或者印 ...
- [导入]对iis写权限的利用
对iis写权限的利用 文章来源:http://blog.csdn.net/21aspnet/archive/2004/11/04/167374.aspx 转载于:https://www.cnblogs ...
- 对iis写权限的利用
作者:未知 请作者速与本人联系 大家可能看过<远程分析IIS设置>,里面对iis的各种设置进行了分析,我这里就对iis的写权限来分析下,以下引用<远程分析IIS设置>文章对i ...
- oracle dba 培训教程 第14章 管理权限
Oracle数据库管理系统的权限分类 系统权限,对象权限 什么是系统权限 访问数据库的权力,使用户在数据库中能够执行一些特定的操作 什么是对象权限 维护数据库中的对象的权力,使用户能够访问和维护某一特 ...
- python抽奖教程_利用Python写一个抽奖程序,解密游戏内抽奖的秘密|python基础教程|python入门|python教程...
https://www.xin3721.com/eschool/pythonxin3721/ 分析需求 我们先整理下思路,目标是什么?目标是要写一个抽奖程序,那么抽奖程序的核心是什么?当然是如何判断一 ...
最新文章
- 借助阿里云数加,小小的美甲行业被美甲帮玩出了天价。
- 本地win7ping VM linux ipv6地址问题
- java中常见的几种内部类,你会几个?(未完)
- php教程知识点归纳,PHP知识点小结
- [网络流24题]孤岛营救问题
- SpringBoot系列五:SpringBoot错误处理(数据验证、处理错误页、全局异常)
- 运筹优化(十五)--应用模型之分配问题
- mysql中的select into 与insert into语句用于备份数据
- 利用OpenCV3进行鱼眼镜头标定
- Google 再见 Java
- ArcGIS 基础6-ArcCatalog数据库管理
- 计算机电路基础知识点总结,《计算机电路基础》课程教学方法的探索
- 编程入门: 自学编程从哪里开始? [初学参考]
- 高校大数据专业教学实训资源解决方案
- 小何同学问了苹果CEO库克哪些问题?
- 激光振镜误差校正算法C语言,一种基于双线性插值法的激光振镜图形校正算法的制作方法...
- 寻找250(非数组求法)
- 【Java】基础09
- Laravel: artisan的使用
- 云呼HTML自适应官网源码