Lucee的不当配置问题 我们在本地搭建了一个Lucee/CMS测试环境,偶然发现了其中存在的一个配置不当问题,攻击者利用该问题可以直接访问到受保护的ColdFusion标记语言文件(CFM),由此可以实现一些未授权操作...该功能中,imgProcess.cfm文件会以url.file和form.imgSrc为参数去调用创建文件,如果这两个参数都是形式化或POST请求的带参,那么就有可能不会触发WAF规则。...然而,即使我们可以在服务器中任意位置创建任意内容(如.txt)的文件,但是,之后的测试证明,我们可以在其文件名上做点手脚,形成漏洞利用。...现在,如果我们在服务器任意位置创建一个名为server..cfm的文件,其内容为”#stText.x.f#”。...在另外两个网站服务端中实现RCE Shell 1、创建一个内容匹配”#stText.x.f#” ,且名为server..cfm的文件,把它zip打包为payload.lex。
Net中实际上已经为我们在这方面做得很好了。FCL中提供了不少的类来帮助我们完成这项工作,让我们的开发工作变非常简单和快乐。...编程控制IIS实际上很简单,和ASP一样,.Net中需要使用ADSI来操作IIS,但是此时我们不再需要GetObject这个东东了,因为.Net为我们提供了更加强大功能的新东东。...创建虚拟目录 DirectoryEntry是.Net给我们的一大礼物,他的名字我们就知道他的功能--目录入口。...使用过ADSI的人都知道操作IIS,WinNT这些时,我们还需要提供他们的Path,操作IIS时,这个Path的格式为: IIS://ComputerName/Service/Website/Directory...在创建新目录时,我们也可以同时给这个目录的属性赋值,但是我的实战经验告诉我,最好不要这样做,如果创建时就赋值,将有很多属性不能赋值成功,比如重要的表示真实目录的Path属性。
MSSQL利用批处理写马至中文路径 0x01 前言 知识星球看到@紫陌师傅分享的一篇《利用IIS虚拟目录绕过os-shell中文目录》,所以想着对他文中提到的利用Adsutil.vbs脚本创建虚拟目录写马至中文路径的方式进行复现...0x02 思路分享 Adsutil.vbs是Windows系统自带的一个脚本,可用于命令行下管理IIS,默认在C:\inetpub\AdminScripts目录下,但只在IIS6默认会有这个脚本,IIS7...我们可以通过执行Adsutil.vbs脚本获取目标网站的各种信息,如:网站ID、绑定域名、应用程序池和查看/创建/删除虚拟目录等,实战场景中还得去删除下创建的虚拟目录,否则可能一直存在。...及以上场景时我们也可以通过执行appcmd获取IIS中的所有网站名称和对应的物理路径,快速定位到目标网站的绝对路径,也能查看/创建/删除虚拟目录等,方便我们写马至中文路径。...查看虚拟目录: C:\Windows\System32\inetsrv\appcmd list vdir 创建虚拟目录: C:\Windows\System32\inetsrv\appcmd add
Http Request传到工作进程(IIS5.x为aspnet_wp.exe,IIS6.x和IIS7.x为w3wp.exe)后,工作进程实例中通过ISAPIRuntime(主要作用是调用一些非托管代码生成...上图左边为IIS5.X WEB SERVER,右边为Asp.net Application的工作进程(worker process),Asp.net是以作为IIS组件的形式扩展IIS的。 ...AppDomain创建AppDomain并将该虚拟目录的程序集加载到AppDomain中(虚拟目录中可能不止一个程序集,而默认AppDomain会将整个虚拟目录下的所有程序集加载到AppDomain上)....x设计为一个服务器只启用一个工作进程来处理所有请求/响应,为保证各个Application(以虚拟目录为单位)独立运行且不干扰其他Application(一个Application崩溃不导致整个进程崩溃...IIS5.x中识别请求属于哪个Application是在工作进程中在用户模式下实现的,而IIS6.x是由Web Server的http.sys在核心模式实现的(IIS5.x的是Aspnet_isapi.dll
解决方法: 以IIS7.5为例 1.在IIS中找到相应的网站 2.在“功能视图”中找到“MIME”类型,双击进入 3.添加,在“文件扩展名”内填入相应的扩展名,比如:.doc 4.在“MIME...解决方法: 以IIS7.5为例 1.在IIS中找到相应的网站 2.在“功能视图”中找到“HTTP 响应头”类型,双击进入 3.添加,“名称”内填入:Content-Disposition 4....在应用程序级别之外使用注册为 allowDefinition='MachineToApplication' 的节是错误的。...如果在 IIS 中没有将虚拟目录配置为应用程序 以IIS6为例 解决方式: 1.在IIS中网站对应的虚拟目录上右键,选属性 2.应用程序名后点创建 C# 利用SharpZipLib对字符串进行压缩...项目发布在IIS中图片或CSS样式无法正常显示 很多时候在开发环境中页面能正常显示,但发布在IIS中后,显示正常 最常见原因: 1.路径不对正常 特别是发布为虚拟目录时,一定要注意路径问题
中没有(int)entry.Properties[“MajorIISVersionNumber”].Value;属性,将抛出异常 证明版本为 5.0 return string.Empty;...} } /// /// 创建虚拟目录网站 /// /// 网站名称...ServerAutoStart”, 1); site.Invoke(”Put”, ”ServerSize”, 1); site.Invoke(”SetInfo”); // 创建应用程序虚拟目录...{ if (getentity.SchemaClassName.Equals(”IIsWebServer”)) { //设置应用程序程序池 先获得应用程序 在设定应用程序程序池...} } } } } /// /// 判断object对象是否为数组
"在应用程序级别之外使用注册为 allowDefinition='MachineToApplication' 的节是错误的。如果在 IIS 中没有将虚拟目录配置为应用程序,则可能导致此错误。"...,其余的解决方法你也可以尝试下,我之前还尝试了添加虚拟目录。..._Default”不存在 iis配置网站 如果没有对项目的文件夹区分,举个例子: 图3 图4 我们创建一个简单的mvc网站(图4),直接在iis中添加网站,物理目录就填写VS下的目录(一般都是与pakage...在web.config 的数据库连接节,我们最好使用 connectionString="server=....;uid=sa;pwd=XXXXX;database=SportStore;" 这种格式,以免部署到服务器上的时候出现问题(具体是啥我忘了)
迄今为止,所有服务器示例都是运行在自驻留(self-hosted)的.NET 服务器上。自驻留的服务器必 须手动启动。.NET Remoting 服务器也可以在许多其他的应用程序类型中启动。...为了使用 IIS(Internet Information Server,Internet 信息服务器)和ASP.NET 中的基础结构,必须 创建一个派生自 System.MarshalByRefObject...此外,也必 须在 Web 服务器上创建一个虚拟目录,该目录映射到保存 Web.config 配置文件的目录上。远程类的 程序集必须驻留在子目录 bin 中。 ...可以使用 IIS MMC 配置 Web 服务器上的虚拟目录。选择 Default Web Site 并打开 Action 菜单, 就可以创建一个新的虚拟目录。 ...在这里必须指定远程对象的 URL, 这个 URL 包括 Web 服务器 localhost、Web 应用程序的名称 RemoteHello(该名称在创建虚拟网站时 指定)、远程对象 HelloService.soap
前几天有一个朋友在MSN上问我“ASP.NET 从最初的接收到Http request到最终生成Response的整个流程到底是怎样的?”...我们通过创建虚拟目录将资源Host到IIS下,原则上,我们可以通过IIS访问置于虚拟目录下的所有Resource,这部仅仅包含一些静态资源文件,比如图片、纯Html文件、CSS、JS等等,也包含一些需要动态执行的文件...通过AppManagerAppDomainFactory的Create方法为Application创建一个Application Domain;通过ISAPIRuntime的ProcessRequest...顾名思义,Application Pool就是一个application的容器,在IIS 6中,我们可以创建若干Application Pool,在创建Web Application的时候,我们为它指定一个既定的...最后的流程就和IIS 5.x一样了:通过AppManagerAppDomainFactory的Create方法为Application创建一个Application Domain;通过ISAPIRuntime
如何让IIS下多个虚拟目录共享Session 每个虚拟目录相当于是一个应用,其中的Session是不共享的,不过你的Session存储方式设置成了 inpro,stateserver还是SQLSERVE...但如果使用SQLSERVER数据库存储Session,则可以变相的时限共享,方法如下: 首先设置虚拟目录的Session存储在SQL上SERVER: 步骤一:创建ASPState数据库 打开...t 就存在tempdb 会话数据库创建好后。 ...步骤二.在虚拟目录里web.config添加一个配置节点: 在节点内添加 <sessionState mode="SQLServer" sqlConnectionString..." 修改好后,在入口虚拟目录中设置了session后,其他地方都可以共用该session了。
在NTFS格式分区下(这里为d盘)创建文件夹FTP01和FTP02.然后设置安全权限. 同样设置文件夹FTP02的权限为FTP02完全控制,当然这里可以按照实际情况分配不同用户不同的权限。...回到IIS管理器,选择一个FTP站点“新建/虚拟目录/下一步”在别名处输入FTP01.选择“下一步”,路径选择刚刚创建的FTP01目录,选择“下一步”,同样新建一个虚拟目录FTP02.路径指向FTP02...,然后在服务器上查看一下是放置在哪个目录下就可判定了。...首先在FTP站点根目录(这里为d盘)下创建一个文件夹,名为tools,在IIS管理器中,在FTP站点下创建一个虚拟目录,名为tools,路径指向f盘下的“工具”目录。...如今在论坛上也见很多FTP列表,手工维护实在很麻烦,只要把FTP更新列表.txt放在一个Web路径下或专门为创建一个虚拟目录指向FTP更新列表.txt所在目录,那么我们就可以通过浏览器直接浏览这个文件,
本次配置VSS2005运行环境:Windows XP/DotNet2.0 注:VSS要求iis 支持 asp.net 2.0, 因为VSS2005的运行库是2.0,如果同时有1.1,则要在IIS...此时VSS2005将自动在IIS中建立虚拟目录:SourceSafe 3、在资源管理器中共享vss 目录,设置好权限(Administrator取得该目录的所有权限);注意要有写入权限!!!!...4、然后在vss administrator中重新用""computer name"vss打开。如下边的操作: ? ?...点击确定,此时VSS2005将自动又在在虚拟目录Sourcesafe下再建立两个虚拟目录:VssUpload_db1, VssDownload_db1 中间会有一些提示,不管他,回答yes就是了。...IIS自动创建的虚拟目录如下(IIS下完全不需要手工建立虚拟目录): ?
如何配置IIS运行 ASPX 最近在做 .ASPX 搞了好一阵子,才弄懂这个东西,和大家分享…… 欢迎讨论 一、先注册asp.net组件: (asp.NET 组件即:.Net Framework ) 开始...Framework\v1.1.4322\aspnet_regiis -i [ 上面这个地址是.NetFramework 自动安装默认的位置~ ] 二、接下来还要在WEB服务扩展启用ASP.NET服务: IIS...->本地计算机->WEB服务扩展->ASP.NET v2.0.5072:允许 [ 如果上面这个地址你没有找到,可能是你在安装IIS时没有装服务扩展!...去Win组件里IIS看看] 三、在IIS中创建虚拟目录 IIS->本地计算机->网站->默认网站,右键->新建“虚拟目录”->取个名字->浏览你的ASPX文件的目录,确定 四、点击新建的虚拟目录...->在右侧,右击:aspx文件->浏览 版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。
不知道是不是SQL Server 2008的Bug,我在安装了SQL2008后(选择了安装报表服务的),但是在IIS中根本没有报表服务的虚拟目录。...要正常使用报表服务则需要手动添加报表服务的虚拟目录,具体操作如下: (1)运行inetmgr打开IIS管理器。 (2)新建应用程序池Report,使用默认配置即可,该应用程序池用于报表服务专用。...(3)在默认网站中新建虚拟目录Reports,本地路径是C:\Program Files\Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting Services...(4)修改Reports的属性,将应用程序池修改为前面创建的Report,如图: (5)确认当前运行的.net 版本是2.0。...(6)确认报表服务已经运行了,然后访问http://localhost/Reports/Home.aspx 即可看到报表服务的管理界面: (7)新建虚拟目录ReportServer,对应的本地路径是:
上安装消息队列时,默认情况下msmq已经安装了http协议支持,而windows2003上,默认安装的消息队列是没有http支持的,需要在"添加/删除 windows组件"-->"应用程序服务器"-->..."消息队列"-->"详细信息"中把"MSMQ http支持"勾中 另外要说明的是msmq3.0在安装过程中,需要在iis的默认站点(即标识为W3WVC1,msmq在安装中定死了这一标识)中创建msmq的虚拟目录...LM/W3Svc/1/Root/MSMQ 找不到之类 解决办法: (a)把iis卸载掉,重新安装iis,当然重安装iis后,很多iis的站点信息也将丢失 (b)修改iis元数据 先到http:/.../节点,找到你当前的默认站点标识名(技巧:在iis管理中,右击默认站点-->属性-->网站-->属性-->在弹出对话框最下面的日志文件名W3SVC1529656452\exyymmdd.log,这里的1529656452...就是内部标识) 修改以下几个地方: 先把这个标识rename为1,再修改这个节点下面的root以及虚拟目录的AppRoot,即把类似/LM/W3SVC/1529656452/Root 修改为/LM/W3SVC
当然大前提用户在服务器上必须要正确安装SSL证书。 301重定向 301重定向是指页面永久性移走,是网页更改地址后对搜索引擎最友好的方法。当网站发生调整,改变了网站的目录结构,网页被移到一个新地址。...如何实现301重定向 1:IIS 服务器实现301 重定向 打开iis,创建一个站点(可以是空文件夹)成功后右键,属性>>网站,ip地址后面的高级中,将需要做301的域名绑定在主机头上。...这样就完成了在windows系统中iis下设置301永久重定向了。 以上的设置方法功能都比较单一,只适合网站建设初期的设置,接下来进入更强大的设置模式,适用于已经成功建站的高手们。...下的301重定向 旧域名重定向到新域名 创建一个.htaccess文件,并将下面提供的代码写入文件内,它可以确保旧域名所有的目录或者网页正确的跳转到新域名内。...GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
4、创建workers2.properties文件 在Tomcat安装目录下的conf目录下建一个workers2.properties文件,把下面这段内容拷进去保存, 实际运用时把所有的localhost...8、新建虚拟目录 在Internet信息服务管理器中,在里面选择“网站”中的默认网站,点右键,选择“新建”->“虚拟目录”,别名填jakarta,下一步,路径选为你的isapi_redirector2....“设置扩展状态为允许”也打上勾,确定。...4.英文文档中还提到应该把IIS6设置为IIS5隔离模式,“Internet信息服务管理器”->“网站”->“属性”->“服务”,把“以IIS5.0隔离模式运行WWW服务”打上勾。...5.如果上述方法都试过了还无法成功整合的话,可以尝试如下操作:虚拟目录-à属性à虚拟目录选项à配置 添加一个应用程序扩展,扩展名为 .jsp 可执行文件为isapi_redirector2.dll 的绝对路径
步骤如下: 在 [Internet效劳治理员] 中,选取整个IIS电脑、Web站台、或应用程式的起始目录。...於 [内容] 之 [主目录]、[虚拟目录]页,设定应用程式保护选项为 [低 (IIS处理程序)]。...可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。 如何设定快取(Cache)功能呢?...步骤如下: 若要启用HTTP压缩功能,方法为在 [Internet效劳治理员] 中,选取电脑之 [内容],於 [主要内容] 之下选取[WWW效劳]。...然後按一下 [编辑] 按钮,於 [效劳] 页上,选取 [压缩静态档案] 可以压缩静态档案,不选取 [压缩应用程式档案] 。
首先要关闭不必要的服务;其次是建立安全账号策略和安全日志;第三是设置安全的IIS,删除不必要的IIS组件和进行IIS安全配置。 在IIS安全配置时候,要注意修改默认的“Inetpub”目录路径。...可以删除C盘的“Inetpub”目录,然后在D盘重建一个“Inetpub”,而后在IIS管理器中将主目录指向新建立的“Inetpub”路径。...此外,还需要删除默认的“scripts”、“print”等虚拟目录,然后在IIS管理器中删除不必要的映射,一般情况下保留ASP、ASA就可以了。...具体方法是在“IIS信息服务”管理器中右击主机名,选择“属性”→“主目录”标签,点击“高级”按钮,在“映射”标签中就可以删除不必要的映射了。...在“IIS信息服务”管理器中展开网站的虚拟目录,然后右键点击某个虚拟目录,选择“属性”→“虚拟目录”标签,在“本地路径”下可设置对该目录权限为“读取”或“目录浏览”等。
首先要关闭不必要的服务;其次是建立安全账号策略和安全日志;第三是设置安全的IIS,删除不必要的IIS组件和进行IIS安全配置。 在IIS安全配置时候,要注意修改默认的“Inetpub”目录路径。...可以删除C盘的“Inetpub”目录,然后在D盘重建一个“Inetpub”,而后在IIS管理器中将主目录指向新建立的“Inetpub”路径。...此外,还需要删除默认的“scripts”、“print”等虚拟目录,然后在IIS管理器中删除不必要的映射,一般情况下保留ASP、ASA就可以了。 ...具体方法是在“IIS信息服务”管理器中右击主机名,选择“属性”→“主目录”标签,点击“高级”按钮,在“映射”标签中就可以删除不必要的映射了。...在“IIS信息服务”管理器中展开网站的虚拟目录,然后右键点击某个虚拟目录,选择“属性”→“虚拟目录”标签,在“本地路径”下可设置对该目录权限为“读取”或“目录浏览”等。
领取专属 10元无门槛券
手把手带您无忧上云