文章作者:enjoyhack

昨天搞完泰国那个服务器后随便看了个韩国的的购物网站（看样子是像个购物网站，具体是不是我也不清楚，棒子的语言看不懂啊！！）。懂棒子语言的朋友不妨告诉下是什么类型的网站，呵呵。

看样子还是和中国某些B2B商城系统类似，刚开始的时候顺便检测了下注入，发现没法注入后便在网站随便逛了逛，看到有个新闻页后面有留言的地方。

虽然语言不通，但是操作界面还是熟悉的，这里应该就可以上传图片了。

直接传了个IIS解析漏洞利用的图片马上去。

可以看到上传上去的图片并没有另外命名，我这里这个图片是因之前有上传一个同名的，所以现在多了个“[0]”。

接下来就是一句话连接拿webshell了，这步就不用多说了吧，我想大家都应该知道了，呵呵。

shell 的权限依然很大，命令执行组件也没有删除，简单看了下服务器的信息，服务器安装有MSSQL，3389有开放。
接下来就是找找看能不能找到SA密码了，在网站数据库链接文件中找到了一个。

遗憾的是不是SA的，而且端口还改成了2433，为了验证下权限我还是拿这个账号到MSSQL提权的地方连接测试了下，预料之中的权限不够。

看到这账号密码挺复杂的，突然想到会不会sa也用这个密码呢？于是便在MSSQL连接处把账号修改成sa，点连接。

呵呵，够悲剧的了吧，接下来就是执行命令了，不过这里还有一点小插曲。

执行命令的时候出现了错误，不过根据这个错误来看，中文错误意思应该是：Error Message:SQL Server 阻止了对组件 'xp_cmdshell' 的 过程 'sys.xp_cmdshell' 的访问，因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的详细信息，请参阅 SQL Server 联机丛书中的 "外围应用配置器"。

这个错误看过我之前文章的朋友应该知道怎么解决，就是使用查询分析器远程连接SQL后执行几句SQL命令即可，但是由于目标服务器端口更改成2433，分离版的查询分析器不能自定义端口连接！！所以这里要使用SQLtoos的 SQLcommand功能一句一句的执行以下命令:

;EXEC sp_configure 'show advanced options', 1 -- 
;RECONFIGURE WITH OVERRIDE -- 
;EXEC sp_configure 'xp_cmdshell', 1 -- 
;RECONFIGURE WITH OVERRIDE -- 
;EXEC sp_configure   'show advanced options', 0 --

能执行DOS命令了后面就直接加用户上服务器了。