IIS 6.0 解析漏洞的一些用法(二)

youngfan007

　　这个漏洞的危害非常严重，我目前看到的比较多的应用有几个
　　1 。 数据库备份上得使用，很多信息管理系统，cms，网城等等，在拿到了管理员账户后，需要上传木马时，很多地方都限制了asp或者asa的上传，这时采用上传一个a.jpg，然后在备份的时候备份为../a.asp/b.mdb,因为在很多情况下数据库备份都会做限制，不允许自定义备份后缀名，但是你可以自定义备份路径，从而构成a.asp这种目录从而触发iis6.0的解析漏洞。
　　2 。直接使用，即上传a.asp;.jpg这种有些时候是过不去的，但是如果限制不严是可以通过的，实际上文件名只要是a.asp;....分好后面可以自定义各种字符，空格都可以，例如这种怪异的格式也会被iis当作asp来执行，
写道
3.asp; 123