作者:网络小子  Www.YkHack.Com

    每天穿梭在网络之间，昨天(黑客天下)被挂了首页，死鱼居然挂的我的名字。

在百度搜索资料的时候，突然谈出来了一个Hack站点。名字叫(黑客酒吧) 主站很简单。

就一个PHPWind v6.0 的论坛。 图1

最近喜欢上了渗透。于是准备对主站渗透一次。PHP论坛，在我们没有Oday的情况下就只能旁注。

ping bbs.hacker98.cn 得到IP是 202.142.26.135 打开http://www.myipneighbors.com

输入IP查询服务器上的站点。得到11个站点， 图2

其中有两个是还不存在，3个是PHP的站点，一个下载站，还有一个是科讯的程序。突然想到昨天我还写
了一个科讯的Oday入侵演示，于是对这个站检测了一下。按着昨天写科讯漏洞的步骤搞了一下。注册好了
用户，在上传头像那里上传JPG格式的ASP木马，点击上传。提示http 500 错误，图3

看来是有人搞过了。下载默认数据库，和CONN文件都失败。在网站的后面输入admin,得到一个默认后台。试着尝试admin
admin
都失败。后来社工管理员常用的密码进到了后台。admin,admin888,admin999.  图4
 

前段时间搞科讯的网站都是用刚才那种方式搞的，还真没在科讯的后台拿过WebShell.

传了一个JPG图片，没找到途径，在后台里面随便找了一个图片到数据库备份那里去。数据库默认地址不

能更改。看来备份这招是行不通了。然后在网上找了一写关于科讯漏洞的资料，找了半天终于找到一个，

打开一看还是一个老版的，这个程序已经是更新过的了，也不行。已经是晚上9点了，又在后台逛了一会
依然没有什么进展。于是就回家了。

过了一个晚上又来到网吧，继续昨天的工作。进到后台突然看到一个自定义页面管理，于是编辑了这个页

面，在网站的摸版目录浏览了一个HTML文件，编辑了后面的格式为ASA,放了一编辑了ASP小马。直接浏览。

提示模板不存在,请先绑定!  图5

换了一个ASP大马，编辑后保存，居然成功了， 图6

删除了，wscript.shell × 命令行执行组件

扫描端口如下，居然没有一个开放。你见过变态的，但是你见过这么变态的吗？ 图7

得到网站的WWWROOT途径是

F:\wwwroot\nmgqc.com\wwwroot
那么目标站点的WEB途径就因该是
F:\wwwroot\hacker98.cn\wwwroot
F:\wwwroot\hacker98_cn\wwwroot
F:\wwwroot\hacker98\wwwroot
F:\wwwroot\www.hacker98.cn\wwwroot
都失败了，这个方法行不通了。

尝试着传,ASPX,PHP,JSP木马提高我的访问权限，都失败，不支持。

浏览C:\Progra~1目录得到服务器上安装了MYSQL， 图8。

去C盘的WINDOWS找到了my.ini文件，里面保存着ROOR用户密码，欣喜万分。点编辑，我差点没吐血。

图9 图 10

提示没有权限。哎，换别的思路吧，突然想起来，前面浏览服务器网站的时候明明有PHP论坛和ASPX站点。
怎么现在传PHP和ASPX不支持呢？

c:\ d:\ e:\ f:\ g:\ H:\

只有一个E盘可以浏览，而且有读取，写入，修改。等权限。还得到一个WWWROOT目录。上面也有几个站点。在一个网站的 config.inc.php 文
件里面找到了ROOT用户和密码。 图 11、

接着，我问朋友要一个PHP免杀大马，还是失败，大马并没有被杀。那只能是不支持PHP文件，既然不支持，
那服务器上为什么有PHP站点呢，极度郁闷中。。。。

在E盘的WWWROOT目录又得到一个站点的WEBSHELL，而这个站就是采用的ASPX。
http://www.hsfw.cn/  (我把真实的地址发出来了，大家悠着点啊)
呼房在线-呼和浩特最大的房地产门户网站

尝试着传ASPX大马，居然成功了。图 12

这个ASPX大马并没有提高我的访问权限。

把su.php传上去了，居然可以正常显示了。看来是服务器，是对ASP,ASPX,PHP,每个WEB目录都做了设置。

只有支持ASPX，和 PHP后缀的WEB目录才支持，ASPX和PHP。

SU.php也传上了，前面也得到了ROOT用户密码。直接连接。提示失败。 图13

难道ROOT用户密码不对？MY.ini又不能浏览，仿佛一切又回到了从前。

思路又回到了http://www.hsfw.cn网站，换了一个ASPX大马，直接得到了Hack98的Web途径， 图14

直接到F盘输入得到的Web途径，有修改和访问权限。成功拿到了目标站的WebShell。图15 图16
 

已经拿到了主站和论坛的权限，因为这个网站的WWTOOR设置太变态，

渗透没在继续，此次入侵花了2天时间。

到此结束，希望会脚本的朋友加我QQ进行讨论