微软IIS 6.0和7.5的多个漏洞及利用方法
- - Chinadu's Blog1.任何组织和个人不得利用此漏洞进行非法行为,否者产生的一切后果与本人无关. 2.各大站长与个人转载、复制、传阅时请保留此声明,否者引发的一切纠纷由传播者承担. 微软的IIS 6.0安装PHP绕过认证漏洞. 微软IIS与PHP 6.0(这是对PHP5中的Windows Server 2003 SP1的测试).
作者声明:
1.任何组织和个人不得利用此漏洞进行非法行为,否者产生的一切后果与本人无关
2.各大站长与个人转载、复制、传阅时请保留此声明,否者引发的一切纠纷由传播者承担
微软的IIS 6.0安装PHP绕过认证漏洞
Example request (path to the file): /admin::$INDEX_ALLOCATION/index.php
微软IIS 7.5经典的ASP验证绕过
受影响的软件:.NET Framework 4.0(.NET框架2.0是不受影响,其他.NET框架尚未进行测试)(在Windows 7测试)
详细说明:
There is a password protected directory configured that has administrative asp scripts inside An attacker requests the directory with :$i30:$INDEX_ALLOCATION appended to the directory name IIS/7.5 gracefully executes the ASP script without asking for proper credentials
http://<victimIIS75>/admin:$i30:$INDEX_ALLOCATION/admin.php
will run the PHP script without asking for proper credentials.(暂时没有翻译)