入侵金奔腾公司网站

反正我刚起床，就帮他去看看!

　　打开网站发现IIS设置了允许目录浏览，这就好办了。服务器上的文件全在我们眼皮底下了。

　　如图1：

　　接着在http://www.jinbenteng.com/yth2/看见articles目录，articles中文是文章的意思，

　　肯定是文章系统，还看到articles.rar

图2

　　用迅雷下载回来一看，果然是该站新闻系统的源代码。打开里面的网站数据库，找到管理用户3个。密码经过MD5加密了的，超管的密码无法找到。不过破解了两个文章管理员的密码

图3

　　用普通用户登陆到后台，发现只能写文章。

图4

　　不过我们能够自己修改密码。

图5

看到用户名一栏了吧，tonesung是只读属性，并不能修改，我们把该页面保存到本地，
修改<input type="text" name="username" size="38" maxlength="20" value="tonesung" readonly></td>去掉readonly
再修改action="http://www.jinbenteng.com/yth2/articles/admin_admin2.asp?id=26"好了，我们把tonesung改成超级管理员的账号名：金奔腾公司密码不变。

图6

　　提交后提升成功!

图7

　　到这里还未结束，我们只是把普通管理员的用户名修改成与管理员一样的名字了。权限依旧很低。

　　我们再去http://www.jinbenteng.com/yth2/articles/admin_admin.asp下修改密码。

　　这次不需要本地提交了，直接换个新密码，这时修改才是修改超级管理员的密码。

图8

　　提交修改后提示成功!

　　我们退出再用管理员账号+修改后的密码登陆成功!

图9

　　到了这一步，拿webshell就非常容易了，备份、修改上传限制都可以成功

　　假设上面的提权方法不成功，我们还有第二种方法。我们通过目录浏览看到http://www.jinbenteng.com/yth2/articles/data下的asp后缀数据库。

　　图10

　　这样我们就可以插入一句话了，可是asp数据库中含有防下载代码，

　　直接访问出现如下提示：

Active Server Pages 错误 'ASP 0116'

丢失脚本关闭分隔符

/yth2/articles/data/#db1.asp，行 37194

Script 块缺少脚本关闭标记(%>)。

图11

通过查看数据库源文件发现里面有如下代码： <% loop <%导致asp不能正常解析。

图12

　　不过我们可以过滤他。

　　我们先用普通管理员去发布一条新闻，发布新闻内容里面填写：┼砧

图13

　　再打开http://www.jinbenteng.com/yth2/articles/ly.asp去留言!留言内容填写：┠砾

图14

　　好了，我们再访问

　　http://www.jinbenteng.com/yth2/articles/data/#db1.asp

图15

　　呵呵，成功解析了。

　　下面又去留言，留言内容输入┼攠數畣整爠煥敵瑳∨∣┩愾┼砧再用ASP连接段连接。密码为#。突破数据过滤思路，原创者的帖子地址：http://forum.eviloctal.com/viewthread.php?tid=29824&highlight=loop里面非常详细的讲解了具体利用过程以及原理!