IIS6 PUT漏洞

一.漏洞描述

IIS Server 在 Web 服务扩展中开启了 WebDAV ，配置了可以写⼊的权限，造成任意⽂件上传

1.1环境搭建

环境 fofa："IIS-6.0"

本地搭建2003 server

1.2漏洞复现

        1.开启 WebDAV 和写权限：

1.3 漏洞复现

使用burp

⽤burpsuite 提交OPTIONS 查看⽀持的协议

多余的删掉 只留下面的三个 

那么我们的shell.txt 就传进来了 但是txt不能被当作asp

使用move命令去更改后缀 207 就是对的

然后我们的shell.asp就成功写入了

我们就可以写入一句话木马然后去用蚁剑或者哥斯拉连接了

这样就完成了