巧妙查看服务端ASP源代码
影视网站asp源码大全免费观看在线视频看到题目也许会有人想起N年前的IDA和IDQ的查看ASP源代码的漏洞。但是这种肉鸡现在去哪里找呢?而我所说这个漏洞也是管理员的不安全配置所引起的。大家都知道用SERVER WIN2000做WEB服务器的时候,默认情况下应用程序的映射会有这几种,如下图:
把这些存为stm,再直接请求后,可得到任意ASP文件的长度,最近一次被修改的时间,也可以执行程序,这些大家就自己实验吧!
说到最后,也许会有人说,这些怎么去利用啊。其实我也是偶然发现这个利用的地方的。有一次我在拿一个站的权限的时候,他的站是动力文章系统,大家可能都知道有上传漏洞,但是我所上传的cer cdx htr都不能被解析asp教程,最后我就传了一个stm文件,发现他的stm映射忘了删除。文件内容是!--#include file=conn.asp--,直接请求这个stm文件,接着查看源代码,那么这个conn.asp就一览无余了。Conn.asp里面的数据库路径拿到后,就简单了,不用我说大家也知道怎么搞了。其实我说这些话的意思是,有些知识在你看来没有可利用的的地方,但是真正碰到实际的问题,脑子里多存在一些这样的知识,那么会给你的入侵带来很大方便。
