运城推广型网站开发,采购管理软件免费版,wordpress语言代码,单页网站有哪些IIS6.0 server在web服务扩展中开启了WebDAV#xff08;Web-based Distributed Authoring and Versioning#xff09;。WebDAV是一种HTTP1.1的扩展协议。它扩展了HTTP 1.1#xff0c;在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法#xff0c;如PUT#xff0c…IIS6.0 server在web服务扩展中开启了WebDAVWeb-based Distributed Authoring and Versioning。WebDAV是一种HTTP1.1的扩展协议。它扩展了HTTP 1.1在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法如PUT使应用程序可对Web Server直接读写并支持写文件锁定(Locking)及解锁(Unlock)还可以支持文件的版本控制。可以像在操作本地文件夹一样操作服务器上的文件夹该扩展也存在缺陷利用PUT方法可直接向服务器上传恶意文件控制服务器 存在iis put攻击的条件
开启访问者写权限 开启webdav扩展 使用IIS PUT SCANER扫描IP是否可以PUT操作 当我们禁用webdav可以看到put就失效了 使用桂林老兵工具上传一句话木马 直接上传asp会根据特性被解析无法上传 所以直接上传txt文件再通过MOVE请求使他重命名 MOVE 请求是 WebDAVWeb-based Distributed Authoring and Versioning协议中的一个方法用于将一个资源从源 URI 移动到目标 URI。WebDAV 是一个扩展了 HTTP/1.1 的协议用于在 Web 上编辑和管理文件。 当你对一个资源发起 MOVE 请求时服务器会尝试将资源从原始位置移动到新的位置。如果移动成功源资源通常会被删除而内容则出现在新的 URI 下。 上传成功后使用桂林老兵发送MOVE请求
经测试move请求需要开启脚本资源访问才可用 修改成功就可以用菜刀连了
