题目:动易最新0day利用
作者:hackest [E.S.T]&[L.S.T]
一、漏洞简介
动易网站管理系统在中国的使用范围相当广泛,不过动易又爆出一个惊人的漏洞。此漏洞利用环境必须满足以下两点:1、目标服务器IIS版本必须为6.0;2、目标网站必须开放注册上传功能。一般满足以上两个条件的网站都能成功利用此漏洞拿到webshell的。主要就是利用IIS6.0的特性??在一个包含有asp字样的目录里的任意文件都会当作asp来解释执行的。其实在X1期里的《动易Region.asp注入漏洞利用》就已经提到过这方面的内容了。此漏洞危害具大,就连动易的官方网站也没能幸免于难!我朋友就利用这个漏洞成功拿到了动易官方网站的webshell,呵呵。
作者:hackest [E.S.T]&[L.S.T]
一、漏洞简介
动易网站管理系统在中国的使用范围相当广泛,不过动易又爆出一个惊人的漏洞。此漏洞利用环境必须满足以下两点:1、目标服务器IIS版本必须为6.0;2、目标网站必须开放注册上传功能。一般满足以上两个条件的网站都能成功利用此漏洞拿到webshell的。主要就是利用IIS6.0的特性??在一个包含有asp字样的目录里的任意文件都会当作asp来解释执行的。其实在X1期里的《动易Region.asp注入漏洞利用》就已经提到过这方面的内容了。此漏洞危害具大,就连动易的官方网站也没能幸免于难!我朋友就利用这个漏洞成功拿到了动易官方网站的webshell,呵呵。
