aspcms后台拿shell(非添加模块)及修复方法[转载]

aspcms在老版本中可以通过添加模板直接添加asp.但是新版的aspcms中已经限制了添加模板的格式为html,js,css,当然如果是遇到iis6的话还是可以通过iis6的解析漏洞把文件名改成1.asp;.html这样的格式来拿到shell的。可是如果遇到iis7.5呢?以下是本人自己找到挖掘到的aspcms通杀版本的后台拿shell方法:

由Typecho 深入理解PHP反序列化漏洞

前言

Typecho是一个轻量版的博客系统,前几天爆出getshell漏洞,网上也已经有相关的漏洞分析发布。这个漏洞是由PHP反序列化漏洞造成的,所以这里我们分析一下这个漏洞,并借此漏洞深入理解PHP反序列化漏洞。