IIS下ASP目录漏洞和IIS分号漏洞(;)的临时解决方法

站长资源 2024/4/28 佚名

23 1538 23

DDR爱好者之家 Design By 杰米

解决方法：

下载银月服务器工具，使用工具->组件下载器下载ISAPI_Rewrite，解压出来。

把ISAPI_Rewrite中的ISAPI_Rewrite.dll添加为ISAPI，名字为ISAPI_Rewrite，这就是伪静态，做过的不用安装了

下载漏洞补丁包，即下图选择的项目，下载打开！

把ISAPI_Rewrite目录中的httpd.ini替换成补丁包中的httpd.ini。

或者保证ISAPI_Rewrite下面的httpd.ini有下图选择的两行规则也行！这样就能防止这两个IIS漏洞了，是要这两条规则有效就行了，ISAPI_Rewrite目录下面的httpd.ini是全局配置文件，会应用到所有网站，这样会防护所有网站不受漏洞攻击。

我们再说一下这个漏洞（下图），只要一个文件有(.asp)后面再带上分号(;)后面再带上一个随意字符加上扩展名如(cao.asp;ca.jpg)这个文件Windows会当成jpg图像文件，但是这种文件在IIS中会被当成asp运行，(cao.asp;ca.jpg)这个文件IIS会识别成(cao.asp)，分号以后的东西忽略了- -。所以说(cao.asp;.jpg)这样的文件名也行！

补丁包里面有一个图片，把法放到各个站点下面，如果有人利用这个漏洞的话！会看到这张图片！

原理：在Windows中要搜索多个文件是使用分号(;)进行分割的，如果这个文件本身带有分号怎么？- -。哈哈系统就不能搜索这种文件的！下图，明明有这个h.asp;kk.jpg这个文件，在Windows搜索中会被当成h.asp和kk.jpg这两个文件来搜索，这是Windows的一个设计不当，应该说不应该让分号(;)做文件名的！

但是要知道cdx、cer等等等等文件都是asp的映射！所以aaa.cdx;kk.jpg都会被当成asp运行！如果这些映射没有删除都会被利用，用上面的方法这些都会变得安全！

下图是ASP目录漏洞，只要目录名为xxxx.asp这个目录下面的所有文件都会被当成asp文件运行。这是asp目录漏洞

如果无法加载，请给予IIS_Rewrite文件夹network和network service只读权限！

银月网络，银月服务器工具。
当然对于已经使用rewrite的朋友可以直接复制备份文件与图片即可
/201008/tools/rewrite_rule.rar

IIS,ASP,目录漏洞,分号漏洞

DDR爱好者之家 Design By 杰米

广告合作：本站广告合作请联系QQ：858582 申请时备注：广告合作（否则不回）
免责声明：本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除！

DDR爱好者之家 Design By 杰米

评论“IIS下ASP目录漏洞和IIS分号漏洞(;)的临时解决方法”

暂无评论...

《魔兽世界》大逃杀！60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容，新游玩模式《强袭风暴》即将于3月21 日在亚服上线，届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕，并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时，他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中，玩家将会进入一个全新的海盗主题大逃杀式限时活动，其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场，作为一个独立于主游戏之外的活动，玩家可以用大逃杀的风格来体验《魔兽世界》，不分职业、不分装备（除了你在赛局中捡到的），光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式，玩家在加入海盗主题的预赛大厅区域前，可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹，《巨龙崛起》和《魔兽世界：巫妖王之怒经典版》的玩家都可以获得奖励。

更新日志

2024年04月28日

IIS下ASP目录漏洞和IIS分号漏洞(;)的临时解决方法

IIS中使用的ISAPI_Rewrite Full版本做反向代理详解

apache documentroot指向htcdoc之外提示403错误的解决方法

评论“IIS下ASP目录漏洞和IIS分号漏洞(;)的临时解决方法”

《魔兽世界》大逃杀！60人新游玩模式《强袭风暴》3月21日上线

更新日志

友情链接