WooYun.org

（投机取巧而已，所以不多配图了，大家见谅。。。）
0X001 万能密码带来的突破点
在洞口：http://202.192.128.60/jyzc/baoxiu/admin/
直接用'or'='or'到了后台。但是遇到这样的情况：
1） 菜B的数据库备份果断不行（文件被删了）
2） 可以上传图片，但服务器有狗（至于上面的万能密码为什么没拦截别问我，反正当时就是这么进去的，反正我都信了）
0X002 弱口令？
于是继续扩大战果。
在洞口2：http://202.192.128.60/jyzc/baoxiu/admin/admin_user_edit.asp?user_id=1页面修改管理员密码时，发现原密码经过md5加密后泄漏在源代码中。于是F12果断拿下md5破解之。如图

于是想到该站算是jyzc目录下的分站，所以猜想主站的密码会不会相同。而结果当然是肯定的。
0X003 狗？
于是顺利登进jyzc目录的后台。再次发现有以下情况：
1）有数据库恢复功能
2）不可以上传文件
3）据观察只有uploadfiles文件夹可以写，但没有脚本执行权限。
看来安全狗似乎把权限做得挺死的。BUT，That's all？
0X004 打狗，百密一疏
于是统筹下上面的信息,得到猜想：
1）既然有数据库恢复功能那应该数据库备份目录是可写可执行脚本的，或者如果是asa格式的数据库，那么数据库目录也可能会被设置可执行脚本。
2）可以用baoxiu目录的后台上传一木马图片，然后用jyzc目录后台恢复到jyzc的数据库目录下。
于是催生下一步
0X005 瞒天过狗
拿一个传说但实际早已经不过狗的asp大马和一张png图片

copy 1.png /a + 2.asp /b 3.png

成功上传。（过程发现同样的命令和图片如果和其他大马合成时却失灵被拦截，又一无解、、、、）
备份到jyzc目录的数据库文件存放目录。可惜访问时被提醒有危险操作被终止。但是
用include大法最终骗过恶狗拿到webshell。。。
0X006 End
至于提权服务器和内网渗透，本人掂量下自己，再看看服务器上装的各种杀毒软件就果断放弃了。所以至此本次渗透到此结束。。。
不过有趣的是在翻看目录时还是找到了很多前人的身影呢。。。。