怎么知道用了WEB防火墙?后台可以控制这个防火墙吗?
On 4月15日, 上午9时05分, Tse Nable <[email protected]> wrote:
> 权限是sysadmin的.
> 数据库和WEB分离, 没有办法知道数据库是哪个服务器.
> 链接数据库字符串放到 C:\A.TXT ,然后用FSO 读进来.
>
> xp_cmdshell 也存才,用不报错,但是没作用.
> sp_dirtree 是存在,执行也不报错,但是返回值就是插不到表里.
> 读注册表也是这个情况.
>
> 网站用了WEB 防火墙,目前使用POST注射可以突破.
>
> 进入后来,找见上传,直接上传了ASP马,一访问结果是 403.1
>
> 经过几天的寻找,找到一个不是403.1的目录, 但是这个上传验证了后缀,还是特别BT的验证.
>
> charn = split(right(vFormFileName,5),".")(1)
> if charn <> "tiff" and charn <> "tif" and charn <> "TIF" and charn <>
> "TIFF" then
> response.write "<script>alert('Only Tif or
> Tiff.');window.close();</script>"
> response.end
>
> 我无法突破这个上传的验证.
>
> 唯一可以利用的就是有一个 DownloadFile 的页面没有验证, 但是只能Download WEB目录(D盘)的.
>
> 现在我能想到的方法都试过了,无效.
> 请高人想想办法.
--~--~---------~--~----~------------~-------~--~----~
要向邮件组发送邮件,请发到 [email protected]
要退订此邮件,请发邮件至 [email protected]
-~----------~----~----~----~------~----~------~--~---
