事情是这个样子的：老婆在这家学校里实习，说给涨工资一直没涨，把俺老婆气的就对我说：“老公，你去把这学校的网站黑了吧！给我出出气！”（⊙﹏⊙b汗~我又不是黑阔！多大的人了！还跟小孩一样！）（但是你是搞计算机的呀！）
阅读全文>>

几天前帮朋友检测他们的网站时候，顺便看了看C段上的服务器，发现了一个FTP弱口令，FTP用的是Serv-U6.3，WEB用的是IIS7.0，远程终端连接上去看到是Windows Server 2008。 阅读全文>>

从上个星期起就开始入侵检测这个网站了，当时是一点办法都没有，虽说存在一些漏洞，但是都没有太大的利用价值。尝试入侵了一下服务器上的其他站，用的是独立服务器，上面都是主站的一些分站。经检查也都没啥搞头。

因为事情比较多，就把它扔到记事本里放了一个星期。昨天早上起来感觉心情很不爽，我也不知道是为啥，很是郁闷。于是又把它翻了出来，决定一定要发泄一番。

我知道主站是绝对没得搞的，于是重新查了一下服务器上都有哪些站。查到服务器上又多了一个分站hr.xxx.com，看到这个域名，我还以为是人力资源部的呢（可能前几次人力资源部面试面出阴影了吧）。打开一看是个BBS，一个帖子都没有，注册会员30来个，再看一下程序是用的Discuz!NT2.5.0。眼前一亮，这套程序中的showuser.aspx文件不是有注入漏洞么！

但愿没有打补丁吧。先说说现在的思路吧。

1.注册个会员。

2.利用漏洞构造SQL将会员提升为管理员。

3.登陆后台更改上传附件文件类型。

4.前台传马，后台查看文件路径，得到WEBSHELL。

提交SQL提升boygood为管理员

showuser.aspx?ordertype=DESC;update dnt_users SET adminid='1',groupid='1' WHERE username='boygood';--

提交完后退出并重新登陆，这时boygood显示的已经是管理员了，O(∩_∩)O哈哈~

点击“系统设置”进入后台登陆界面。本来想着已经成功了呢，可是无论如何我都登陆不进去，本来就很郁闷，现在更郁闷了。

思考思考…这些配置信息它都应该是写入到数据库的对吧，那么我如果直接构造SQL把数据修改了不就可以了，结果一样，只是后台是有图形界面的。可是我压根就不清楚它数据库是什么样的啊…于是到官方下载了CHM版的《Discuz!NT2.5.0数据字典》。翻了半天，终于找到了我所需要的信息。

接下来就是依据该数据字典构造SQL了，首先构造修改上传文件类型的SQL。

showuser.aspx?ordertype=DESC;update dnt_attachtypes SET extension='aspx' WHERE extension='jpg';--

将原来的jpg类型改为了aspx类型，现在可以上传aspx马了。

传是传上去了，可是根本不知道文件的具体路径啊。我完全能够看到的应该就是我自己的个人信息了，查查数据字典看看表名和字段名。

>showuser.aspx?ordertype=DESC;update dnt_userfields SET website=(SELECT filename FROM dnt_attachments WHERE dnt_attachments.aid=1) WHERE uid=2995;--

好了，结合用户信息表和附件表已经把我刚才传的附件路径赋值给我的个人网站了，现在浏览一下我的个人信息。

嘿嘿…马儿的位置出现了，至此拿到了当前站的WEBSHELL了。

进到WEBSHELL查看了一下当前的权限和环境，还是比较严的。现在的想法就是，找到目标站的路径，试试看能否跨过去。这个论坛不是用的SQL Server吗，我再构造一个注入点，然后拿个工具去把目录列出来不就可以了。至于如何构造，可参见[构造注入] 一文。

目录有了，也跨过去了，看了目录结构及其命名，原来主站的核心是风讯CMS，可是却没有写权限。- -！貌似人家把不经常改变的目录及文件的写权限都去了。再想，他要发布信息，而且生成纯静态页面，那么存放这些静态页面的目录应该可写吧，打眼一看，就知道那个HTML目录是存放静态页面的，当然也成功的向该目录下写了个马。

至此，入侵结束，我也发泄完毕了。