作者：落泪红尘[r00ts Security Team]

====================================================================================
今天突然拿起以前日不进的学校网站，
无旁站，变态C段，只有五个段，都是些政府的那些，看了一下，觉得没什么希望，毕竟是地政局。
这个站弄得我寂寞了好久。
好，再次拿起来，
====================================================================================

我先用WVS扫描了一下站点，然后一边扫一遍进行渗透

1.注册一个帐号，看看有什么上传漏洞之类的，解决，只有登陆没有注册，那时灰了。
看了下2级域名，发现可以注册，我注册了一个帐号，发现可以上传，上传了一个asp;.jpg格式的，自动改名了，然后看了下源码，本地构造没得利用，抓包也没法，不灰心，好，不灰心，继续上。

2.看看是什么网站程序，到处看了一下，还社了下管理员和那些客服，发现这个是他们自己写的管理系统，好吧。

3.发现wvs扫出一个主站的注入点，立马精神起来，主站是iis+asp+access，手工注入就没意思了，

搞到SQLMAP里面去./sqlmap.py -u "wwww.xxx.com/XXXX.ap?id=XX" --table
然后用sqlmap跑表段，havij跑不出来。

4.有密码找回，试了下，无果，社工无果，还是从技术下手把。

好了，目录扫完了。
打开目录，找到几个重点出来。
http://www.xxxxx.com/admin/admin_login.asp
试了下admin admin888 /   admin admin888 / 'or'='or'
upload是需要登陆，其实当时想到了xss，但是那个还是先放到一边把。
然后把目录的所有东西都看了一下，

表段无果。
发现了一个www.xxx.com/count.asp，可以登陆的，以前没有得一个文件。
我随便输入了一个admin,进去了，当时激动了，发现了数据库压缩，网站配置，服务器探针。
我试了下数据库压缩，没有任何东西，看了下源码，没得利用，然后看到了网站配置，进去看了下，
发现插一句话不错，但是没有数据库，
陷入僵局，在群聊天，聊着聊着，然后扫二级目录，进行暴库测试，发现了数据库地址，是asp的，然后在count的网站配置写了一个一句话，然后菜刀连接，没闭合一句话，然后在写了一个asp一句话闭合木马，菜刀再次连接，人品突然爆发。

拿到webshell了，在那个count我是知道支持ws组建的，所以觉得提下服务器希望很大，所以无压力。
进去用啊 D扫目录的那个asp上传上去，C：\recycle可读可写，然后上传了80KB的CMD，pr，巴西烤肉。
还支持aspx，巴西烤肉提权，你懂得了。
进了服务器，写了个txt，感谢一下所有的老师。