作者：阿峰
首发暗影论坛www.anying.org，转载请注明。

先说一下目标，本来是渗透某链接网站，专门给网站挂链接的那种，一次收费20元，免审核。流量超大，排名很高的那种网站...
手工尝试一下常见目录和后台,没有发现，目测也看不出是啥cms，看一下robots.txt，竟然没有，无果。
所话说，知己知彼，百战不殆。只有对目标了如指掌了，才能得心应手的去ooxx。
继续逛，发现了这个主站有很多旗下网站，就打开看看，xx站长网，内容也很多站长资讯，网站建设，SE教程等等吧，
在网站的右上角有【用户登录】，果断点开看看...

竟然logo都没修过...无语了...细节绝对成败...好吧，果断上exp

/plus/search.php?keyword=as&typeArr[111%3D@%60\%27%60%29+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%60%23@__admin%60%23@%60\%27%60+]=a


直接爆出账户和密码来了，我尽量写点详细点吧...
得到的是20位的MD5，去掉前3位和最后1位，然后就是16位的MD5值了，解之，得到了密码。

说到这里，基本上没有亮点，大多数的DEDE站都能爆出账号和密码，但是，同样大多数网站都把后台地址修改了啊。
输入dede回车，果然没有。
好吧，来试试老版本爆织梦路径的方法吧，
/include/dialog/select_soft.php         
/include/dialog/config.php
include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p

提示需要输入后台地址，无果，再换一个方法：
/data/mysql_error_trace.inc
此文件记录mysql查询错误，如果有后台查询出现错误，则会暴露后台路径。
输入回车后，啥也没显示，蛋蛋疼了吧...

看了看robots.txt，很明显是织梦默认的robots，但是没有发现后台地址...
用工具扫一下吧...
一般被修改了默认后台地址的，用工具扫出来的几率几乎为0，因为把dede修改为常见的admin等类似地址，
等于没修改，但我们不能放过任何一个机会，边扫边手工尝试几个...
尝试了网站名字，跟拼音首字母，也无果，工具也扫完了，no found ！
既然是某某旗下网站，那尝试一下主站的名字吧，也无果，继续各种尝试ing....
打算准备放弃了，最后把域名复制了一下，回车后，竟然来到了熟悉的登录框...
登录之~
织梦后台拿shell的方法很多，文件管理器里面没有东东，那就新建模板吧。
【模版】----【默认模板管理】----【上传模板】---【选择文件】


将php大马或者一句话修改为fuck.php;.htm,然后上传...

上传后，可以直接打开...

打开我们的马...下一步，提权...
对于php网站，我一般用mysql提权，但是前提必须的root权限，好，来看一下:
/data/config.file.inc.php

编辑---可以看到数据库信息，数据库名，用户，密码等，没有让我失望，是root权限，哈哈..
打开mysql提权，输入密码，安装DLL，如图:

提示安装成功...
执行 ver 回显:

Microsoft Windows [版本 5.2.3790]


    succeed!
然后添加账户，提升管理组，各种成功。
远程连接，显示登陆页面，竟然开了3389端口，呵呵，...又省事了

发现是一个VPS，旗下网站都在这上面，没有主站，但上面也有好几千人的数据...

做了一下总结：并通知了的管理员，也希望大家在运维的时候注意一下。
1，后台地址还不够隐蔽，继续换。
2，网站管理员密码不够，虽然收费，但还是能够解出来的。
3，网站数据库尽量不要使用root，给提权提供便道，建议使用啊D的降权工具。
4，3389端口太明显了，哪怕换一个也行啊。