過安全狗的一種方法
責(zé)編:admin |2015-02-09 18:04:57某站iis6.0環(huán)境,有fckeditor編輯器,可以成功上傳x.asp;.txt,所在目錄也沒有去掉腳本執(zhí)行權(quán)限。
但是有安全狗,一訪問所傳的url腳本(x.asp;.txt),該腳本就會(huì)自動(dòng)被刪除。但如果該目錄下的文件是x.asp的話,倒是可以正常訪問,也不會(huì)被刪除。
經(jīng)過我測(cè)試,可以這樣突破安全狗的限制。我傳了大量的x.asp;.txt。可以寫程序做到。如圖1
這里的圖只是小部份的示例,傳了有近1000個(gè)吧。每個(gè)x.asp;(n).txt的代碼都是在當(dāng)前目錄下生成一個(gè)新的1.asp木馬文件。我們需要不斷訪問每個(gè)x.asp;(n).txt
我們用火狐的downthemall插件來依次訪問
成功生成1.asp木馬。
至于你的asp木馬是否過安全狗不在本文討論范圍內(nèi)。
- 全新360安全云重磅發(fā)布:AI智能體驅(qū)動(dòng)「安全即服務(wù)」新未來
- ISC.AI 2025周鴻祎:應(yīng)對(duì)“超級(jí)黑客”威脅 安全智能體成破局關(guān)鍵
- ISC.AI 2025在京開幕:開啟智能化時(shí)代全球發(fā)展新紀(jì)元
- 信通院發(fā)布“2025智能體十大關(guān)鍵詞”
- 1Panel agent遠(yuǎn)程命令執(zhí)行漏洞 (CVE-2025-54424) 安全風(fēng)險(xiǎn)通告
- 工信部等八部門印發(fā)《機(jī)械工業(yè)數(shù)字化轉(zhuǎn)型實(shí)施方案》
- 8月6日!ISC.AI 2025北京開幕,共迎智能新紀(jì)元!
- MH-Net:基于多視角異構(gòu)圖的加密流量分類方法
- 2025年度網(wǎng)絡(luò)空間安全領(lǐng)域十大科學(xué)挑戰(zhàn)問題發(fā)布
- 分析:Palo Alto收購(gòu)CyberArk的利與弊