作者：Linzi[F.L.Y]

来源：F.L.Y技术区&混客联盟[www.71345.com]

E-mail:chinaskyv@163.com

本来这篇我是想到X档案去发表的，后来因为一些事，所以最后还是决定直接发出来，文章写了

有好一个多月了吧。就把这篇文章送给混客联盟的兄弟们，和F.L.Y群里面的朋友。

1.起因：

   这篇是专门为旁入写的。这种方法在几个月之前就有了，不过当时没有太在意，但前几天，朋

友给我一篇文章看，是angel他们写的关于access跨库查询。觉得很有意思，再加上前天渗透一

个电影网站没有头绪，刚好也用了这个方法实现终于拿下了系统权限。下面我以雨点下载系统+

动力文章+动网来模仿当时的入侵。

2.踩点：

   www.xxx.com 这是一个综合类的网站，有电影，有flash，有文章，同学录.一个最新的动网论谈，默

认数据库www.xxx.com\bbs\data\dvbbs7.asp，做了防下载处理。其中，文章是最

新的动力，连打印注入漏洞都没有，不过数据库没加容错语句，所以还是暴出了路据库路径：

d:\web\database\www.asp   试了下载，发现出错，可以知道，数据库加了防下载的表段。电影站

点是静态的，而同学录没去找默认数据库，因为看不出是用哪个web，只有flash，发现有注入

漏洞,猜出表名为admin，字段名为passsword和username和id，进了后台，没看到上传点，又是

放弃。猜出了账号是admin，密为19841201

3.社会工程学

   用猜出的账号和密码去登其它模块，发现除了电影可以进去，其它全失败，而电影也补上了上

传漏洞。无奈，好像只能放弃了，无聊跑去看旧书看。终于在笔记里看到了在5月份里一个高手

教我的access的跨库查询。

4.sql injection

  www.xxx.com\flash\list.asp?id=1这是flash的注入点，好了，现在先查一下他的字段。

注入如下：

    www.xxx.com\flash\list.asp?id=1 union select 1 from admin

出错，一直到

www.xxx.com\flash\list.asp?id=1 union select 1,2,3 from admin

没有出错，暴库了id的值1  这说明了3个字段。现在确定了，就可以实现access的跨库查询.

5.access跨库查询

先来暴出动网的前后台的账号和密码

id=1 union select username,1,2 from dv_admin in"d:\web\bbs\data\dvbbs7.asp"

此主题相关图片如下：

暴出了账号hack86，再来暴密码

id=1 union select password,3,2 from admin in"d:\web\bbs\data\dvbbs7.asp"

暴出了密码，这里不抓了，原理一样。

同样的方法暴出前台的账号

id=1 union select password,3,2 from users in"d:\web\bbs\data\dvbbs7.asp" where username=hack86

暴出的账号和密码和前后不一定，前台有验证码，所以cookie欺骗不了。拿起工具进行了暴破。

继续注，注入语句如下：

id=1 union select l_id,3,2 from dv_log in "d:\web\bbs\data\dvbbs7.asp"

暴出了513，说明dv_log的id值最后一条是513开始的，这里有个小窍门，动网的dv_log字段保

留着你修改过密码的的账号和密码，重要的是没有加密过。

好了，暴东西：

id=1 union select l_content,3,2 from dv_log in "d:\web\bbs\data\dvbbs7.asp" where l_id=513

此主题相关图片如下：

一直这样暴，这种方法暴是可暴出没加密的，但是太累了，像我这种懒人，3分钟后就放弃了，

呵呵。不过给大家一个思路，所以把重点放在了动力上面。

对于上面的你其实也可以这样注:

id=1 and (select count(*) from admin in "d:\web\bbs\data\dvbbs7.asp")

这一句是判断表名，其实的注入猜的大家很熟了，我就不多说了。

6.另类渗透-----暴力破解

  用和上面的方法，暴出了动力的账号和密码。然后挂起md5cracker3.0全力暴破，终于，暴出了

一个让我吐血的密码  123456789，我狂晕，浪费偶的时间。

7.aspshell

  进了动力后台，找到基本设置里找到了一个上传点，具体的大家可以看我n久以前的一个动画，

这样可以成功主要是因为动力对config.asp没有过滤，它把我们写入的东西直接放入了

config.asp这个文件里，所以只要我们往这个文件写入的东西满足asp语法就可以了。当时又通个

这种没有过滤好的思路，找到了盗帅的一个漏洞，具体的在家可以看我的另一文章。

8.灵巧的提权

   上去后发现是虚拟主机，我狂晕，刚才怎么忘了旁注。真是越学越笨。上去后对虚拟机踩点，

发现，所有盘都支持不了。包括c:\winnt，还有其它几个有继承关系的文件夹，另外也试了c:\php

c:\perl,c:\inetpub等等，总之你可想到的它全禁了。运行cmd，写着拒绝访问。

拒绝访问，多美的词啊，呵呵，我要的就是这个。再找一下，发现这个虚拟机不支持php和perl.

通过砍客asp木马查到进程，里面有serv-u，不多说了，上传一个su.exe，还有一个cmd.exe

放在d:\web\database\里面，然后在调用cmd.exe的地方改为如下:

此主题相关图片如下：

再次运行ver，发现可以用了。然后输入命令

su.exe "net user linzi 123 /add"发现没有回显，晕死啊，bt的权限啊，不过没关系，这里拿出林

子的“毒门”绝招.把本来调用的d:\web\database\cmd.exe改为d:\web\database\su.exe "net

user linzi 123 /add",其它地方随便输,然后点执行

此主题相关图片如下：

有了回显,再改调用cmd.exe,输入net user  ,可爱的linzi躺在了那边.接下来的事,大家都懂了吧.

可以用cacls把所以盘都共享,可以开通他的3389等等.这里我解释一下上面提权成功的原因,系统

有给我们调用d:\web\database这个目录的权限,如我们在这里调用cmd.exe,但是没有给我们执行

的权限,所以当我们调用的东西是一个命令时,这时又因为我们又有调用的权限,所以我们的命令也

成功了.另外我后来又试了一下,直接输入c:\winnt会说找不到路径,但是如果再详细一点输入发现

可以进去，如:进到c:\winnt的子目录,如c:\winnt\temp,另外我要说的是在c:\winnt中,可执行的目录非

常的多,常见的有c:\winnt\system32\inetsrv\data ,还有c:\winnt\temp,c:\winnt\tasks等等,很多!

有空的话,大家可以自己去找,群里面断点去偷了一张权限分布图过来，这里谢一下“它”了