利用IIS6.0解析漏洞拿webshell（一）

在 Windows 2003下 IIS 6.0有两个漏洞。以下是我在网上找的资料：
　　IIS解析漏洞1：
　　在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹，其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 vidun.asp，那么 /vidun.asp/1.jpg 将被当作 asp 文件来执行。


IIS解析漏洞2：

　　网站上传图片的时候，将网页木马文件的名字改成“*.asp;.jpg”，也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件，名字叫“vidun.asp;.jpg”的木马文件，该文件可以被当作 asp 文件解析并执行。

首先通过谷歌搜索：inurl：manage/login.asp可以找到很多后台入口

以下是我找的一个网站

首先登陆后台