紧急!虽然不是新漏洞!但请各大网管一定关注
这个东西是不是因为其危害很大还是危害不大!为什么就没人公布呢?
还是我自己发现的而已(不太可能是我发现的)?(此贴内容以在3天之前实验完全成功)首先,找一个基于.ASP的免费邮件(2000/NT/2003主机)系统申请拥有一个其邮箱!然后在上传(也就是给自己发送附件!)一个.ASP的网页木马,也就是利用FSO查看修改其文本文件和查看其系统路径的.ASP文件。如果不提示下载!而成功打开本页!那就成功一半了!然后如果可以进入上层目录的话或者可以打开全部的目录(注意:部分目录是带有空格的,得手动在打开的URL里加上空格以及之后的全部路径名称!)以后此URL还可以不进入邮件系统就能打开!(CGI或者PHP的都可以,只要其目录有比较高的FSO权限,和路径内可执行ASP) 至于图片之类的演示因为被试验主机的保密性就不贴出来了!这个方法不知道算不算一个漏洞,为什么在各大论坛都没有见到呢?是因为危害大?还是因为没想到,还是无关紧要?或者怕自己被告了?或者是没想到利用基于FSO权限和ASP执行权限来找这个漏洞呢?!但是关于论坛类的此漏洞入侵就有人发布!
E-MAIL但,我想,从安全的角度来讲,还是公布一下的好!虽然都是FSO相关的,但要是被恶意的人利用了的话……………………系统内容几乎全部托出!请关注你们的邮件系统!影响系统:基于NT4.0/2000SERVER-SP1.SP2.SP3/2000ADVSERVER-SP1.SP2.SP3系列,不管其补丁是多新的,认为此漏洞危害大那么请将此发布!(忠告:为了营造一个良好的网络氛围,请不要利用此漏洞的网友利用此漏洞做出违法行为!所发生相关事故的话,本人概不负责)
|
论坛用户
论坛: 电脑门诊
标题: 紧急!虽然不是新漏洞!但请各大网管一定关注