题目：安全检测实验室信息网
作者：hackest [E.S.T]&[L.S.T]      

一、前言      

有一天，偶闲逛到一个自称中国最大的实验室信息网站，看着“最大”那两个字，总觉得有点不服，于是决定对这个所谓的中国最大的实验室信息网进行一次免费的安全检测。

二、初探虚实  

    首先，当然是打开网站看看了，还真的比较大，如图1。动态页面和静态页面都有，是ASP的。唉，菜鸟嘛，还是用工具吧，这样也看不出什么来的。用什么呢，偶还是最喜欢注入，方便快捷！扫描注入点首选啊D，用啊D检测一下，嘿嘿，发现存在注入，再检测一下，发现不是SA的了，是DB_OWNER权限的了，如图2，有点郁闷了。不是SA权限的不太好玩的呢！猜一下表，能猜出来的全部猜解了也没什么头绪，没有得到管理员的相关信息，更不用说什么找后台登录之类的了。嗯，现在似乎没什么法子了，对于偶这个小菜来说。权限是DB_OWNER，难道没办法了么？到网上找了找，发现一个天大的好消息，DB_OWNER权限一样可以通过差异备份得到webshell。到底行不行呢，下了工具测试一下不就知道了。  

三、捷报飞传  

    工具找到了，GetWebshellah56bug大众版，如图3。我们现在要找的信息有：注入点、数据库、Web路径、注入类型。这些信息都可以通过啊D得到的了，用啊D找得相关信息填上，然后依次点击第一步到第六步，如图4.接着用我自己改过的一句话客户端连接，成功了！页面虽然有点乱，但一句话小马已经成功写进去了，如图5.真是天助我也！一句话写进去了，难道检测结束了？当然不是，因为“最大”那两个字眼始终让我想继续看看。  

四、快马加鞭  

    接下来用一句话客户端的上传功能写入大马，我用的是站长助手，如图6。现在做什么呢，我想提权拿服务器呢。在命令执行模块里执行命令发现拒绝访问，上传自己的CMD又提示缺少对象。好在能写入！浏览一下，发现所有盘都可以浏览，没有设置访问权限。可是现在能做什么呢，好像也没什么法子了。前辈们说如果支持ASP.NET的话可以试下ASPX马。因为ASPX马的权限一般都要比ASP马的大好的，也试一下吧。找了一个ASPX的马，传了上去.我不知道服务器是否支持ASP.NET，传ASPX马只是试验而已，带点运气吧。可能人品不太坏，服务器正常解释执行了，如图7。现在看看能不能执行命令了呢，发现可以了，如图8。入侵就是试探，一点一点把未知信息变成已知事实（个人意见）。现在权限是比刚才大了些，可是对于服务器权限还是不够。执行net start命令发现“Serv-U FTP 服务器”和“Terminal Services”这两个可能是大家都十分喜欢的服务了吧。ASPX权限是大了点，但是也不能直接加个用户然后连接。没有办法了么？嗯，好像还有一个Serv-U提权的，找到了相关的提权ASP马，Goldsun前辈写的，如图9。        

五、瓜熟蒂落  

    试着执行命令cmd /c net user user password /add & net localgroup administrators user /add，要注意它的格式。我试着加了一个hackest的用户，提示成功了，如图10、11。再在ASPX马里看看有没有成功添加这个用户，事实告诉我们，成功了，如图12！接着就是连接了，没想到提示超出了最大连接数。执行query user发现administrator登录了两次，如图13.还在唱片呢，我差点晕了！不管他那么多了，要结束一个ID我们才可以连接进去。还是用ASP版的Serv-U提权马，执行cmd /c logoff 2，稍等一会儿，再执行query user发现已经成功结束了一个连接ID，如图14。好了，现在应该可以正常连接进去的了，果然，如图15。在里面逛了逛，发现这台服务器还不错呢，不愧是中国最大的实验室信息网，服务器配置是我的服务器肉鸡中最好的了，如图16！  

六、后记  

    关于服务器提权我认为方法不拘一格，只要能顺利拿下服务器控制权限就可以了，不一定要3389，也不一定要用鸽子。因为如果设置得好一点的服务器，正向连接和反向连接都作了限制的话。3389是不可能让你随便连接的，就算用反弹木马也会受到限制！总之我是遇到过这样的服务器，用户是加了，可是白加，因为不能连接！所以我认为拿下服务器不一定要怎样怎样，只要80端口能连，我们的权限又可以控制不就足够了么，何必一定要这样好样呢！这次安全检测的问题主要是因为对方存在SQL注入漏洞，而且服务器权限没有设置好，可以写入，还可以目录跳转。本文主要介绍了DB_OWNER差异备份获得webshell和一些服务器简单提权的方法。没有什么技术员含量，只是给和我一样的菜鸟们一点提示而已。工具我会打包的了。好了，检测结束。