前言：今天没事搜索资料的时候来到了这个网站，出于个人信息安全爱好就对他做一番检测!
今天我们渗透的对象是www.TEST.com IP: 218.6.x.193在IP138上查询信息如下：

经过我的简单踩点，发现新闻中心 教学研究 招生就业等主要内容都无法打开，提示数据库连接出错。具体是什么原因我也不清楚，可能是管理的错误操作，也可以是黑客大牛进去做的破坏。仅只有一个板块可以打开http://218.6.X.193:800/scr2006/ ，留给我们发挥的余地很小!分析连接WEB端口是800，很有可能是内网映射出来的。暂只做个估计。我们先检测下这个天空网络教室看有可以利用的没，在我的记忆中是有脚本上传漏洞的漏洞文件是 HTMLEDITOR/GETFILE.ASP 这个文件参数过滤不严格，我们可以上传ASA CER HTR等脚本木马。我们提交路径显示“对不起，访问被拒绝”管理可能修补了，我们再提交HTMLEDITOR/GETFILE1.ASP很多管理在打补丁的时候喜欢备份一个文件，害怕有时候出错。我们提交看下 无法找到。找到默认的管理后台尝试社工管理员密码。失败。现在SQL注射也是很火的。Root/ShowImage.asp 天空的这个文件好像也爆过啦注射漏洞，我们提交个 ’号提示“请不好提交非法字符”，郁闷加了防注射代码。尝试使用COOKIES注射失败。看来漏洞修改得很好。习惯性的在那个文件名字后面加个1也就是Root/ShowImage1.asp，发现文件存在，看来是管理修补的时候，备份的忘记删除了。哈哈。这也是我的个人的小技巧。我们知道天空很多程序很多都是使用MSSQL数据库的.然后我们带上参数提交，继续加个'号。马上出现经典的错误，提交AND USER>0 判断连接数据库用户.

权限不小啊!继续提交;exec master.dbo.xp_cmdshell ‘net user’--，提示我们下载文件。看来是执行成功了。XP_CMDSHELL是没有删除的。手工搞着累，马上拿出大牛ZWELL写的注射器注射，这个软件很好用，特别是命令执行的功能，很强大。输入VER查看系统版本，显示Microsoft Windows [版本 5.2.3790] 2003的服务器，通过读注册表的键值 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 端口是3389 NETSTAT -AN查看ZH终端也是开放了的，不过他是内网。不能直接连接，用啊D写了一个有下载功能的VBS脚本在C盘。尝试下载我们的LCX端口转发工具。注射器执行的效果不是很理想，半天没反应。这条路不太好走，尝试使用注射工具的上环功能上传也很慢，卡死了几次。于是我们转换思路。那我们就拿一个WEBSHELL再说吧!用啊D列目录，最终目标锁定在D:\Easiware\SkyClass2006\Asp\Root这个目录，SA权限无所不能，用啊D写了一个一句话木马的服务端在该目录下，用客户端连接成功得到一个WBESHELL。后门用的我哥职业色狼的.如图2

简单查看服务器信息，装有SU6.4 MSSQL 瑞星杀毒软件 360安全卫士 FSO WS组件可以使用，C-F盘全部可以浏览访问。渗透中发现，使用注射器执行命令效果很不理想。于是我就翻阅数据库的连接文件找连接MSSQL数据库的账号密码。通过仔细查找D:\Easiware\SkyClass2006\Asp\Global.asa这个文件是连接文件。结果发现用户不是SA。如图：

虽然不是SA，但是他一样是管理的权限。一样可以EXEC COMMAN!打开查询分析器输入数据库相关连接信息，提示无法连接。马上在命令提示符中：TELNET 218.6.X.193 1433 提示无法打开，看来1433并没有映射到外网。那我们就在WEBSHELL上本地连接吧!马上上传一个asp版sql在线管理后门,这个后门很好用。我简单的说下用法吧，先输入密码登陆，再点击重新设置数据源。在这里我们输入数据库的名称和账号密码，数据库服务器就保持(local)不变，因为我们就是本地连接他的。输入完后我们点击提交，如果数据库名密码账号等信息正确就会出现设置成功的字样。

这个脚本很强大可以做很多的事，比如备份和恢复数据库 存储过程清单 文件浏览 执行SQL语句 扩展命令也是不错的。现在我们用XP_CMDSHELL来执行命令吧。我们输入IPCONFIG /ALL，速度很不错，又清爽。如图：

我们继续执行添加系统管理员的命令：net user ASP.NET kinghack /add & net localgroup administrators ASP.NET /add 。现在我们上传一个免杀的LCX到服务器上，然后我登陆肉鸡下载LCX建立端口监听。然后我们在利用XP_CMDSHELL执行反弹的转发命令。LCX的使用方法我相信大家都很精通。我这里就不多废话了。这是成功接收到的数据流，很漂亮。如图6：

我在肉鸡上输入本地IP端口信息成功的看到登陆界面，利用添加到账号成功登陆服务器。如图