初步看了一下，jsp+mysql架设，很容易的找到了一个注入点：

获得mysql的root密码为123321（cmd5太黑了，这都收费,建议以后去www.tmd5.com）,telnet 了一下，mysql不能外连。

CAB6CCCFAA4F9B2297B359AE934B6EC1  zhangguishu-123

3C1CEFC8A3E3E190CFB98B63C0A493C6   linmengjian8018

 

扫目录直接找到fck编辑器，

 

发现几乎所有的目录都可以列出目录。用后面的那个帐号登陆是管理员，添加内容处有两个上传，都自动重命名，其中一个传视频的可以上传asa格式的文件，本以为到这里基本就拿到webshell了，谁知道上传后找不到路径。

最后在前台一个有视频的页面查看源文件找到路径。然而….asa直接以文本打开了…不解析啊。然后随便找个页面报错才发现，服务器是Resin-3.0.14的解析器。

好吧，换个思路，反正mysql是root权限，试试写文件吧。写文件需要知道绝对路径和magic_quotes_gpc()=OFF，但是怎么报错都不出路径。后来想到可以根据解析器去找web路径，resin的配置文件中有web路径，可以尝试resin默认安装路径找到配置文件。

c:/Resin-3.0.14/conf/resin.conf

d:/Resin-3.0.14/conf/resin.conf

e:/Resin-3.0.14/conf/resin.conf

f:/Resin-3.0.14/conf/resin.conf

c:/Resin/conf/resin.conf

d:/Resin/conf/resin.conf

e:/Resin/conf/resin.conf

f:/Resin/conf/resin.conf

用穿山甲猜了一下resin的安装路径，读取D:/Resin-3.0.14/conf/resin.conf，在末尾处有web路径。

继续使用穿山甲，写入jsp一句话后门，拿连接器连上，传上一个大马，getshell成功。

Cmd执行，whoami，居然是管理员权限，直接net user、net localgroup了。Ipconfig发现是内网，netstat -an发现3389已经开启。

上传lcx，转发一下端口，然而本地收到了返回

但是连接的时候并没有成功，数据也没有进行交换，开始以为是杀软关系，tasklist看了一下存在瑞星和麦咖啡，taskkill /im XX.EXE /F 直接搞定进程，net start 也没发现安全软件相关进程，顺便也在注册表对3389端口的限制去除了，但是也依然没有连接上，人品问题。反正都是拿服务器，于是上个木马，打完手工

摘自 kylin's blog|