当网站不允许上传ASP,CGI,CER等脚本文件时 - 中国红客帝国官网-Honker EmPire For China - Powered by H.E.C
网络爱好者的栖息之地,让我们的网络技术更上一层楼!!!

当网站不允许上传ASP,CGI,CER等脚本文件时

admin 技术文章

法:上传一个扩展名为shtm或shtm或stm文件, 内容为:<!--#include file="conn.asp"-->直接访问这个shtm或shtm或stm文件,查看一下源代码,conn.asp就一览无遗, 数据库路径也就到手啦,接下来的工作就是下载数据库,查找管理员密码或者进行数据库插马。
      解析:<!--#include file="conn.asp"-->就是一条SSI指令,其作用是将"conn.asp"的内容拷贝到当前的页面中,当访问者来浏览时,会看到其它HTML文档一样显示conn.asp其中的内容。

      补充知识:SSI(Server Side Include),通常称为“服务器端嵌入”或者叫“服务器端包含”,是一种类似于ASP的基于服务器的网页制作技术。SSI工作原理:将内容发送到浏览器之前,可以使用“服务器端包含 (SSI)”指令将文本、图形或应用程序信息包含到网页中。例如,可以使用 SSI 包含时间/日期戳、版权声明或供客户填写并返回的表单。对于在多个文件中重复出现的文本或图形,使用包含文件是一种简便的方法。将内容存入一个包含文件中即可,而不必将内容输入所有文件。通过一个非常简单的语句即可调用包含文件,此语句指示 Web 服务器将内容插入适当网页。而且,使用包含文件时,对内容的所有更改只需在一个地方就能完成。因为包含 SSI 指令的文件要求特殊处理,所以必须为所有 SSI 文件赋予 SSI 文件扩展名。默认扩展名是 .stm、.shtm 和 .shtml。

      前提条件:服务器的对shtm或者shtml或者stm的扩展名映射没有删除。如果是IIS服务器,WEB程序扩展里面的“在服务器端的包含文件”扩展必须设置为“允许”才行。
      后记:至于conn.asp可以为其他,比如config.inc.php config.aspx 等一些数据配置文件,此方法利用有一定的局限性。

标签: 暂无标签

免责声明:

本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。侵删请致信E-mail:22365412@qq.com

同类推荐
评论列表

    baymax  沙发 发表于2015-08-16 19:23 @回复
    互换友链 名称:暗夜安全小组 地址:www.aysec.cn
    无法 回复
    2016-05-07 13:22
    @baymax:对不起本团队不挂利益狗