今天在旁注一个站点的过程中遇到了一个十分有意思的站,拿出来跟大家分享下.  小菜文章没技术含量大牛路过
这是这个站的后台用 账号admin密码admin进去以后发现里面是精良的框架搭建的

这个界面大家应该不陌生吧.
轻车熟路,找上传的地方抓包拿shell 但是上传的时候却怎么也上传不上去,连正常的图片都上传不上去.
就剩下一个ewebeditor 可以上传东西了. 回去翻系统管理的时候发现支持数据库备份. ^
显示备份成功,访问的时候却显示

网页不存在
由于上次搞过目标站,所以知道这个服务器上装的是星外的,感觉是防火墙在作怪.
于是想起来前几天看的kyo327 大牛写的一片文章 一次艰难的渗透纪实 通过改包绕过数据库备份readonly的限制,于是操刀利用火狐的 live http  这个插件获取备份时的数据包# 

看红框画出来的地方.
DBpath=..%2FUploadFiles%2F201241994434786.jpg&bkfolder=Databackup&bkDBname=2012-4-19
bkfolder=跟的是你要备份到那个文件夹  &bkDBname=2012-4-19 是备份完毕的名字.
那我们修改下数据包改成我们需要的
DBpath=..%2FUploadFiles%2F201241994434786.jpg&bkfolder=../admin&bkDBname=zz2.asp
(为什么要备份到admin目录下,因为有的时候Databackup这个目录是设置了执行脚本限制的,要是遇到了一些更变态的,各位基友可以试下覆盖原有asp文件)
把我们用图片格式上传上去的小马备份到 /admin 目录下面名字叫zz2.asp
然后提交.   再次访问 http://xxxxx.com/admin/zz2.asp 得到小马地址
另附上突破星外iis防火墙的一个小方法
首先上传一个图片格式的一句话小马,然后在上传一个包含这个小马的asp文件 90%可以突破防火墙
例如 :   <!--#include file="../images/baidu.gif"-->