严重程度：高

威胁程度：突破格式限制

错误类型：不提示

利用方式：客户机模式

受影响系统

Microsoft Windows Server 2003 IIS6.0

详细描述

把上传文件名改成X.asp;.jpg

直接IE访问就解析成ASP，也就是说把asp shell改成X.asp;.jpg在Microsoft Windows Server 2003 IIS6.0的环境下 会自动解析为asp。

测试代码

一 隐藏shell 把shell的后缀改为.asp;.jpg欺骗管理员 已达到隐藏shell的目的 upload/。

二 上传拿shell 只限制于上传后文件名保持不改变的网站。

三 X.aspx;.jpg X.php;.jpg。

解决方案

...

by x2xnet