一个无意中得到一个注入点，练了下手动注入后猜到了管理员的用户名和密码，没想到是MD5的密码还挺强焊，去MD5在线破解的网站没破出来，更引起我想入侵它的冲动。看首页还有个论坛，如图一，点击却打不开。晕之。

在换了个注入点以后还是没能得到明文密码，还好我会“拐弯”，直接拿明小子旁注，果然是一台虚拟机，上面站点还真不少。直接批量测试注入点，很快就发现就不少注入点，直接猜表名密码，（过程在这就不说了，以免被小编们说我骗稿费。^_^）。还好密码是明文的，直接进后台，没想到后台如此的简单。找了个文章管理，里面有个上传的地方，选了一个ASP马儿试一下，告诉我不行，当然不行了。如图二。换了CER，CDX，HDX。都不行。看下面有个编辑器管理，点了一下，原来是eWebEditor呀。关于利用这个得WEBSHELL的好象“黑手”以前已经说过了。如果……赶紧试下默认密码，哈哈，进来了。既然运气这么好，那就继续吧。选择样式管理。在选择列表中底下的一个样式的“设置”，直接在图片类型添加一个CER格式的，如图三。

提交后，点预览。直接在里面传个改了扩展名为CER的ASP马儿。给出了路径，访问一下，成功得到了WEBSEHLL，如图四。这里说一下，有的朋友可能添加完以后也上传不了CER的文件。很可能是站长自己修改代码了。我们只需要填加aaspsp。在传asp文件的就可以了，具体请参考以前的杂志。进去之后发现wscript.shell可用，可惜在执行命令的时候却不行，还好对目录没有设置的很BT。可以访问其他用户的目录。找后www.***1.com后目录后，本想就稿定了呢。可惜残酷的告诉我没有权限修改。又遇见了困难。在尝试N个方法提权后也没有成功。可能是自己的水平太菜了。

还好能把目标网站的文件下回来研究，因为目标网站本身就有注入点，我猜想他的程序也不怎么样。看到目标网站有个BBS目录，晕了！图五。不是该页无法显示吗？怎么还有目录，先进去看一下。原来是有程序的，只是好象没有首页文件。访问其他页面还能进去，是个不知名的小论坛，有个上传的地方，传一个ASP马儿试试，提示不对。换了个改成JPG后缀的ASP马儿算是成功了，可惜改不过来扩展各有什么用呢。后来抓包用NC上传也没有成功。算了，把目标网站的源文件全下回来慢慢研究吧。

第二天上网继续研究提权和读那些源文件，还好都是ASP的，当看到Manage_backup.asp文件里面有这样一段关键代码，（这个文件是备份数据库的）。

从代码可以看得出session验证只是作了一个判断AdminName的值是否为空，就给了数据库备份的权限。这里是虚拟主机，并不是独立的服务器。我们能不能在session做点手脚呢？有的朋友可能已经想到了，对，我们可以利用www.***2.com的webshell分给我们一个session值。思路有了，在webshell写如下一个1.asp文件。
代码如下：

这样就构成session的值非空成立，这样我们就可以调用数据库备份的功能了。也就是session欺骗。先用www.***2.com访问这个1.asp。然后在用这个浏览器，去访问www.***1.com/admin/Manage_backup.asp文件，怎么样，备份页面出来了吧，如图六。如这里要注意一定要用同一个窗口。否则我们会话值就会结束掉。这里大家都会了吧！刚才不是传了个JPG的马儿吗？正好填上，最后备份一下，成功了。最后访问一下，成功了。如图七所示。

事后EMAIL通知了管理员，当然我们入侵只是为了练技术，并不是稿破坏的。在本次测试中遇到几个小挫折。还好都闯过去了。虽然最后没有提权成功，可是最初的目标已经达到了。其实在入侵中三分是技术，六分是思路。还有一分……当然是运气了。呵呵，我的许多思路都是在非安全杂志上学到的，当然这并不是替他们做广告。有问题大家去论坛交流。本文出自 51CTO.COM技术博客