还是第一次遇到数据库服务器与WEB服务器分离的情况，刚打开网站的时候觉得挺吓人的，因为觉得这样的大网站对我来说根本无懈可击，等搞定之后再回过头来看，还是觉得是那么的不可思议。
目标：www.xxxx-xxxxxx.com
绝大多数页面都是纯静态的，ASP的很少，不过既然有，那么就要检查一下是否存在注入。检查完所能找到的ASP页面，仅发现了一个注入点。
http://www.xxxx-xxxxxx.com/xxxx/show.asp?userid=107045&id=522

检测结果是MSSQL数据库，权限为DB_OWNER。看到这种情况，第一个想法就是列出网站目录，然后备份数据库LOG得WEBSHELL。经过尝试后失败，根本列不出目录来。
第二个想法，找出管理员信息表，然后查出管理员帐号及密码，登录网站后台寻找办法拿WEBSHELL。
结果顺利的从admin表中发现了37条记录，也就是说有37个管理员哇…头一次见这么多…列了16条我就不在列了，因为感觉已经够用了，O(∩_∩)O哈哈~

有个用户的密码是07ff7c1db094deb9dcf9ddf6bec9e605，在线破解失败。
其他用户的密码都是21218cca77804d2ba1922c33e0151105，破解后的密码是888888。
在网站首页顶部直接就有通往后台的链接。

使用用户名和密码登录结果却是失败，连换了几个帐号都是失败。难道数据库搞错了？数据表错了？好好想了想，这时突然看到登录页的TITLE写着“员工登录”，眼前一亮，一般公司里面都是有员工工号的，那么刚才的字段中有一列的名字是userid，我们若把它理解为员工工号和登录页的用户名会是什么样子？
按照这个思路重新尝试登录，毫无悬念的登录成功了。可是这里的后台并不是我所想想的，左边一棵权限树，右边用来展示操作。对各个模块的功能逐一浏览后，并没有发现任何可以获取WEBSHELL的方法。

OK，再想一想一个网站为什么要有这么多的管理员呢？这时我联想到了我前段时间做的ASP.NET[毕业设计CRM系统] ，当然是为了管理方便，且每个管理员所拥有的权限是不一样的。想清楚了我们就知道下一步该怎么走了。我们再逐一登录其他管理帐号看看。换了一个帐号登录后，后台所显示的能够操作的功能更多了。看来思路正确。

这次一眼就看中了资源中心管理这个栏目，为什么呢？想一想“资源管理”，那么肯定是会提供要上传或者下载的功能吧，当然这里也可以说是纯属瞎猜，O(∩_∩)O哈哈~。
打开之后又接着点了一个添加新资源，然后就打开了个如下图的页面。可以上传资源文件，没错吧？

通过这里直接成功上传了一个ASA文件，看样子是可以上传任何文件，可怕啊…
WEBSHELL已经拿到了，可以说已经算入侵完毕了，不过在查看数据库连接字符串的时候，我发现它的数据库在内网的另一台机子上。我还没搞过数据库与网站分离的，这次小试一把。于是自己手工上传了一个CMD.EXE，再次执行OK!不过问题又是不能执行添加管理的命令等等。再次放出Churrasco.exe，执行成功。

这台服务器开启了远程终端，所以也就顺利的登录到了服务器中。

好！接下来搞定数据库服务器。从连接字符串来看数据库服务器的局域网IP为192.168.10.9。用户名（非SA）和密码都比较复杂，一般我看到密码若比较复杂的话，那么其SA密码也有极大的几率是这个密码，因为密码复杂了不好记！偷懒的行为，O(∩_∩)O哈哈~
帐户使用SA，密码用查出来的密码，数据库选择master然后连接192.168.10.9上的数据库，结果当然是连接成功啦！（不知道这算不算是社工？）也证明管理员偷懒了！O(∩_∩)O哈哈~
好，接着执行存储过程提权，exec xp_cmdshell ‘这里写DOS命令’

啊哦…看看提示什么了，从这个提示来看，数据库不是SQL Server 2000而是SQL Server 2005，SQL Server 2005默认情况下是不允许调用xp_cmdshell的，需要手工开启。恰好最近一直在用SQL Server 2005，某天没事干的时候又翻了翻相关的文档，这下正好用到了。
执行EXEC sp_configure ‘show advanced options’, 1;RECONFIGURE;EXEC sp_configure ‘xp_cmdshell’, 1;RECONFIGURE;即可开启。
启用之后又顺利的通过xp_cmdshell添加了超级管理员。进到刚才刚才拿到的WEB服务器，然后再用终端连接内网的192.168.10.9这台机子，再次登录成功！

至此，入侵结束。WEB服务器与数据库服务器均已被控制。又是一篇没有技术含量的入侵过程，不过还是那句话，思路决定出路。

刚刚在华夏上看到有个篇题目《某信息港入侵手记》的文章，打开一看。。。。。。原来是我N久以前搞过的那个。。。。。 具体的可以看[看看菜鸟是如何入侵XX信息港的]
膜拜此文之后还是学到不少东西滴，o(∩_∩)o…哈哈 不错不错。
下面是该作者用到的提权方法：
期间，经过了四个小时的种种提权和TEST，在网上看了无数篇sa权限突破，最后都以失败告终。
　　最后在浪费了俺无数个脑细胞后，独创了孤独九剑第一式。odb读写注册权限即马上拿下3389式灵感来自俺前几天中的一个网马，这个马通过修改劫持注册表文件映像，达到禁止杀毒软件的目录参见http://baike.baidu.com/view/1008480.htm
　　PS:映像胁持简单点就是在注册表里做点手脚，那么只要你启动文件名为aaa的EXE，就会变成执行BBB.exe。
　　而且BBB.EXE可以在任何地方而写注册表，很简单，只要有odb的权限就可以了，至于要他执行。不要忘记，我们有3389是可以执行类如sethc.exe osk.exe 的程序，并且是以system权限执行的。
　　费话少说,改注册表
osk.exe是屏幕键盘,在3389里用win键+u就可以调出来，而nt.exe是用ASP马上传的，作用是打开上帝模式(就是随便输入密码都可以登陆，自己去百度一下ntgodmode.exe)然后mstsc www.xxxx.com用win键调出osk.exe，再用administrator,空密码直接登陆，搞定拿下服务器的图我就不发了，进去后才发现权限真的很BT，SYSTEM权限做了很多限制,cmd.exe net.exe等等，都被删。
PS:这站也够垃圾的，我自己都连续拿了服务器不下3次，而且都给把洞补上了，过段时间那SB管理员就又把有漏洞的文件放回去了。。。。受不了了~~~！这上面还有我的一个webshell呢，不知道写这篇文章的作者有没有发现，嘿嘿o(∩_∩)o…