关于iis安全的一个小疑问
Mas | 2014-04-18 08:26
iis设置web站点的时候要设置一个用来匿名访问的帐号
假设我知道这个帐号和密码
能不能直接getshell?
相关讨论:
1#
luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2014-04-18 08:46
卧槽,吊炸天啊,我觉得能,楼下觉得呢?
2#
Mody | 2014-04-18 08:57
好奇葩,你怎么拿到的
3#
Annabelle | 2014-04-18 08:59
我觉得也能,吊炸天。
4#
qiaoy (但我不能为这离开我的祖国) | 2014-04-18 09:42
首先服务器得有可供登录的端口和服务
5#
zeuser (很高兴和大家交流~~) | 2014-04-18 10:24
看这个帐号的权限了
6#
xxx | 2014-04-18 10:32
你访问web不就用这个匿名帐号访问的,你觉得有多大权限呢!
7#
木易耳朵 | 2014-04-18 11:12
如果服务器没有做特别限制。本身通过aspx等iisspy功能就可以获取用户名跟密码。但是一般都是guest组的。知道了也没用。
8#
wefgod (求大牛指点) | 2014-04-18 11:16
估计没什么用。
9#
龙辰 | 2014-04-18 11:35
权限高的话应该可以吧。
10#
Mas | 2014-04-18 11:47
@龙辰 @wefgod @木易耳朵 @xxx @zeuser 权限?那个帐号对网站目录本身就具有读写权限 还要什么权限 管理员权限吗 那还getshell干嘛?你们没理解我的意思
11#
高斯 | 2014-04-18 16:42
一般来说没用,你本身就是这个账户
12#
zhangsan | 2014-04-18 17:40
@Mas 谁告诉你匿名账户对网站目录有读写权限的。匿名账户给了写权限就没配好。
你可以看看http://drops.wooyun.org/papers/1019
13#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-19 11:24
你访问网站默认用的就是账户(已登录状态),你知不知道密码有什么区别呢?
14#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-19 11:24
你访问网站默认用的就是该账户(已登录状态),你知不知道密码有什么区别呢?
15#
j2ck3r (我家里人什么都不知道。) | 2014-04-19 12:57
看权限,
留言评论(旧系统):