存档

文章标签 ‘iis’

IIS Bad Request BUG

2009年8月7日 2 条评论
GET /%0A%0D HTTP/1.1<br />Host: 127.0.0.1<br />User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)<br />Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8<br />Accept-Language: zh-cn,zh;q=0.5<br />Accept-Encoding: gzip,deflate<br />Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7<br />Keep-Alive: 300<br />Connection: keep-alive<br />Cache-Control: max-age=0<br /><br />HTTP/1.x 400 Bad Request<br />Content-Type: text/html<br />Date: Fri, 07 Aug 2009 04:12:39 GMT<br />Connection: close<br />Content-Length: 34<br />

GET部分未进行 UrlEncode造成Bad Request。同时 header() 注入%0d%0a 时也可用 UrEncode() 进行解决。

分类: 网络安全 标签: ,

对IIS写权限的简单分析

2009年5月15日 3 条评论

//还是要象征性的加个版权,转载请注明b0r3d's blog http://www.b0r3d.org
//上个月给黑手投去了,人家既然没有发表,我就发出来吧,毕竟文章的原创内容太少,技术含量也没有多高。

最近对IIS的一些安全设置做了下总结,在查找配置写权限漏洞得时候,网上介绍的资料不多,现在就只有自己动手配置了。配置写权限漏洞的时候又对写权限有了一些新的认识。网上对写权限得介绍一般都为,由于服务器得配置不当,用户可以匿名上传一些文件或者是代码。常用的利用工具有zwell的IIS put scanner和老兵的写权限利用工具,本文就不再对利用方法进行介绍了,介绍得文章或者是动画已经很烂了。

写权限漏洞主要跟IIS的webdav服务扩展还有网站的一些权限设置有关系。下面我们先看下webdav的一些官方介绍

允许客户发布、锁定和管理 Web 上的资源,它允许客户端执行以下操作: 阅读全文…

分类: 网络安全 标签:

IIS日志清理专题,CMD版,VBS版,JS版,WSH版

2008年8月6日 没有评论

来源:柳永法(yongfa365)'Blog

专题名称:IIS日志清理专题,CMD版,VBS版,JS版,WSH版

关键词:IIS日志清理,日志清理,IIS日志清理CMD版,IIS日志清理VBS版,IIS日志清理JS版,IIS日志清理WSH版

应用场合:主要用与虚拟主机,也可用于个人服务器   阅读全文…

分类: 工具收集 标签: ,

IIS的另类错误

2008年1月5日 4 条评论

昨天安装一个iis,启动不行,一直找不到原因,后来重新安装iis也行。一直郁闷了一下午。
后来终于解决了,原来是那个讨厌的迅雷造成的。。。。
原来是迅雷占用了80端口!!

解决方法:

1、退出迅雷再启动iis,启动后再启动迅雷就没事了。
2、看图:

换个端口就OK了。或者直接生成一个随机的端口。

分类: 系统概念 标签: , ,