Abstract: IIS PUT写权限漏洞学习报告。

  1. IIS put 写权限漏洞

    打开VMware虚拟机,先查看 IP 地址

​ 主机访问网站

WebDAV 开启之前

​ 使用 burpsuite 抓取数据包,将 GET 方法改为 OPTIONS 后,

​ 开启 WebDAV 服务,

​ 使用 burpsuite 抓取数据包,将 GET 方法改为 OPTIONS 后,

​ 文件所在文件夹的写权限未开启前

​ 使用 PUT 写入文件

​ 文件所在文件夹的写权限开启

​ 使用 PUT 写入文件

​ 进入目录查看,可以找到 test.txt 文件

​ 先将一句话木马写入 test.txt

​ 查看 test.txt

​ 将 脚本资源访问 打上勾

​ 在用 MOVEtest.txt 修改为 test.asp

​ 查看 test.asp