当我们有了上传权限的时候,不过不能上传asp等木马,但我们可以上传其他的文件,如gif 、htm、shtml、stm等,我们知道,htm是不能囊括文件的,
如等,
但shtml或者stm却可以,的这时候我们可以上传一个xx.stm文件或者shtml,内容为
,这是一条SSI指令,
其作用是将"xx.stm"的内容拷贝到当前的页面中,然后浏览我们上传的xx.stm文件,但是显示是一片空白,我们再查看源文件,
conn.asp的内容就一览无余了,这样就可以轻得到网站的数据库路径了.有时候我们得到了后台管理权限,可以修改上传类型,
虽然很多系统都不能直接asp文件,但是shtml等貌似几乎都可以哦,怎么样利用coon.asp看个人的发挥了
