昨天晚上我正无聊呢，就和永远闲聊开了。聊了聊以后准备去什么地方发展之类的，后来他给我了一个WEBSHELL让我提权，于是有了这篇文章。
≠﹥永远， 21:38:32
提个权
≠﹥永远， 21:38:36
帮个忙
≠﹥永远， 21:38:38
能执行CMD
≠﹥永远， 21:38:43
但是加不了账号
≠﹥永远， 21:38:53
USER权限好像
≠﹥永远， 21:38:54
http://www.csxdf.com/forevers.aspx
Neeke 21:38:56
我举

Neeke 21:39:01
我提权是垃圾
Neeke 21:39:54
  

≠﹥永远， 21:39:54
.NET
≠﹥永远， 21:40:06
S-U的
Neeke 21:40:20
这马真好看

Neeke 21:40:25
我拿了

≠﹥永远， 21:40:34

≠﹥永远， 21:40:41
伤心的鱼给我甩的
≠﹥永远， 21:40:47
还说让我别给别人..汗.
Neeke 21:40:59
这种应该是免杀的

≠﹥永远， 21:41:16
好像
≠﹥永远， 21:41:22
放了好长时间了.
≠﹥永远， 21:41:25
一直在
≠﹥永远， 21:41:38
我最近忙一直也没有看
≠﹥永远， 21:42:39
3389也开着
≠﹥永远， 21:42:45
程序目录可以跳进去
Neeke 21:43:13
他程序是什么的？

Neeke 21:44:30
sql？

≠﹥永远， 21:44:58
有sql的
Neeke 21:45:08
我日 这马我怎么弄不下来

≠﹥永远， 21:45:10
而且开着
≠﹥永远， 21:45:26
..你先提权.我日,不就一个马么.我给你撒.
Neeke 21:46:05
aspx的。。。

≠﹥永远， 21:46:15
接收文件成功，保存于C:\Documents and Settings\Administrator\桌面\login3.aspx。
Neeke 21:46:27
dbpath="database/#dlcate.mdb"
Set conn = Server.CreateObject("ADODB.Connection")
        c & Server.MapPath(dbpath)
        conn.Open connstr

Neeke 21:46:30
不是sql啊

≠﹥永远， 21:46:40
别的站点在用
≠﹥永远， 21:46:45
跳不出去
Neeke 21:47:17
可以啊

≠﹥永远， 21:47:23

Neeke 21:47:32
可以跳到别的呀

≠﹥永远， 21:47:36
不会吧?
≠﹥永远， 21:47:39
别的网站
Neeke 21:47:44
嗯

≠﹥永远， 21:47:54
捕个图
≠﹥永远， 21:47:56
我看
Neeke 21:48:06


≠﹥永远， 21:48:25
我晕
≠﹥永远， 21:48:26
真的行呀.
Neeke 21:48:31
  

≠﹥永远， 21:48:32
前几天都跳不出去的.
≠﹥永远， 21:48:33
汗
Neeke 21:48:36
  

≠﹥永远， 21:48:39
真的.
≠﹥永远， 21:48:47
前些天跳不出去
Neeke 21:48:49
管理员看你入侵的困难的

Neeke 21:48:54
给你放水

Neeke 21:48:57
  

≠﹥永远， 21:49:15
我晕孓
≠﹥永远， 21:49:19
快
≠﹥永远， 21:49:22
找sql
≠﹥永远， 21:49:24
提上去
Neeke 21:49:36
你也找么

≠﹥永远， 21:49:40
嗯
≠﹥永远， 21:49:52
湖南长沙的在用好像
≠﹥永远， 21:49:54
你看一下
Neeke 21:50:44

≠﹥永远， 21:51:04
长少新华
Neeke 21:51:13
这么多计算机学校啊。。。。不黑他怪可惜的 垃圾安全还培训呢  

Neeke 21:51:16
误人子弟

Neeke 21:51:19
  

≠﹥永远， 21:51:21
嗯
≠﹥永远， 21:51:23
哎.
≠﹥永远， 21:51:28
我也感觉就是
≠﹥永远， 21:51:41
我总搞不懂..我们学校的网站安全性这么差的.
Neeke 21:52:31
这是你们学校

≠﹥永远， 21:52:33
嗯
≠﹥永远， 21:52:36
找到了没有
≠﹥永远， 21:52:42
我在学校机房上
≠﹥永远， 21:52:46
卡成毛了.
Neeke 21:52:51
是ACC的

Neeke 21:53:05
不过带密码了 试试看能登服务器不

≠﹥永远， 21:53:33
试一下
Neeke 21:54:35
不行

Neeke 21:54:55
C & Server.Mappath("../myoadata hua2006oa.asp") & ";driver={Microsoft Access Driver (*.mdb)};uid=;pwd=!@#xhceoa123!@#;"

Neeke 21:55:04
密码还挺复杂的

≠﹥永远， 21:55:29
...有一个sql的.
Neeke 21:56:48
一个个看

≠﹥永远， 21:58:07
OA有一个ASPX.
Neeke 21:58:34
能咋

≠﹥永远， 21:58:54
..失望
≠﹥永远， 21:58:57
还不是sql
≠﹥永远， 21:59:00
还是ACC
Neeke 21:59:11
1433都开着

Neeke 21:59:15
肯定装了

Neeke 21:59:22
装了就肯定有用

Neeke 21:59:26
  

≠﹥永远， 21:59:58
嗯
≠﹥永远， 22:00:00
不用急
≠﹥永远， 22:00:02
慢慢弄
Neeke 22:02:38
陕西新华的

Neeke 22:02:51
那个DVBBS好像是sql的

Neeke 22:03:00
'是否商业版，非官方sql版本请在此设置为0以及在Conn中设置论坛为sql数据库，否则显示不正常
Const IsBuss=1

≠﹥永远， 22:03:04
哦.
Neeke 22:03:10
1得是代表是？

≠﹥永远， 22:03:15
JSP的sql在哪?
Neeke 22:03:44
我们写JSP时候是写在bean里面

≠﹥永远， 22:03:59
bean是什么Neeke 22:04:14
java的类

≠﹥永远， 22:04:20

≠﹥永远， 22:04:25
这个我看到sql了
≠﹥永远， 22:04:27
就是找不到
Neeke 22:05:02
在哪个目录

≠﹥永远， 22:05:43
第一个
≠﹥永远， 22:05:49
你把SU试了没有?
Neeke 22:05:58
没

≠﹥永远， 22:06:00
现在权限大了.你试一下SU.EXE
Neeke 22:06:02
你看看这个 E:\web\陕西新华电脑软件学校\wwwroot\BBS

≠﹥永远， 22:09:49
没用
≠﹥永远， 22:09:52
ACC的
Neeke 22:10:53
好像支持PHP

≠﹥永远， 22:11:09
嗯
≠﹥永远， 22:11:10
就是得
≠﹥永远， 22:11:19
PHPMYsql数据库怎么提?
Neeke 22:11:24
那传PHP马

≠﹥永远， 22:13:12
你传
Neeke 22:16:49
找到sql了

Neeke 22:16:54
jsp那个站里

≠﹥永远， 22:21:54
..提
Neeke 22:22:04
没那么容易

Neeke 22:22:26
是字节码形式存储的

Neeke 22:22:36
只有JVM虚拟机认识

≠﹥永远， 22:22:59

≠﹥永远， 22:23:01
那杂办
Neeke 22:23:02
得找个java反编译的工具把源码搞出来 才能得到

Neeke 22:23:17
漱壕.
scxh dt
java/lang/Object
user
Ljava/lang/String;
password
sDBDriver
sConnStr
conn
Ljava/sql/Connection;
stmt
Ljava/sql/Statement;
rs
Ljava/sql/ResultSet;
<init>
()V
Code
 
scxhcndb
 
xinhua168112
 
,com.microsoft.jdbc.sqlserver.sqlServerDriver
"
?jdbc:microsoft:sqlserver://localhost:1433;DatabaseName=scxhcndb
$  
&

(

* 
,.-
java/lang/Class /0
forName
%(Ljava/lang/String;)Ljava/lang/Class; 243
java/lang/System 56
err
Ljava/io/PrintStream;8
java/lang/StringBuffer:
firm():
7< =
(Ljava/lang/String;)V
?A@
java/lang/ClassNotFoundException BC


Neeke 22:23:22
字节码

≠﹥永远， 22:23:23
你给我指导一下JSP数据库连接放在哪个文件里了
≠﹥永远， 22:23:41
那个文件捕个图发过来
Neeke 22:24:04
  

Neeke 22:24:15
需要反编译

≠﹥永远， 22:25:08
.汗
≠﹥永远， 22:25:18
不会只有这个用sql吧..汗
Neeke 22:25:27
我找到了

Neeke 22:25:33
没编译的

Neeke 22:25:46
哈哈 看到密码了

≠﹥永远， 22:25:57
还在JSP里面的?
Neeke 22:26:02
sa的

≠﹥永远， 22:26:05
刚去侧所里
Neeke 22:26:05
  

Neeke 22:26:16
在.java类里面

≠﹥永远， 22:26:23
JSP不是要编译才能用吗?
≠﹥永远， 22:26:26
发图来我看看
Neeke 22:26:27
看来多学点东西还是好

≠﹥永远， 22:26:39
是哪个文件
Neeke 22:26:39
他放了个没编译的啊

Neeke 22:26:56
E:\web\scxh\WEB-INF\classes\scxh\scxh.java 我先提提看

Neeke 22:27:14
这人真SB

≠﹥永远， 22:27:22
哦.嘿嘿
Neeke 22:27:49
一般部署jsp时候 只部署class文件

Neeke 22:28:24
可以加帐号

Neeke 22:28:26
美宝宝

≠﹥永远， 22:28:54
直接加
Neeke 22:29:01
我进服务器了

Neeke 22:29:31
美

Neeke 22:29:39
学的JSP用上了

≠﹥永远， 22:29:50
..哦...谢我
≠﹥永远， 22:29:53

Neeke 22:29:59
哈哈

Neeke 22:30:14
截图 开个VPN耍
  
Neeke 22:33:28
有点小卡

≠﹥永远， 22:33:40
嗯
Neeke 22:34:21
我开VPN

≠﹥永远， 22:34:55
你小心
≠﹥永远， 22:35:01
别出事
Neeke 22:35:12
又没搞什么破坏

≠﹥永远， 22:36:12
嗯
≠﹥永远， 22:36:14
好
≠﹥永远， 22:36:28
我这里超限制了.
≠﹥永远， 22:36:30
登不进去
Neeke 22:36:51
晕

提权过程就是上面的聊天记录，好像不是很详细。o(∩_∩)o...


算是我走运吧，呵呵，这次提权基本上就没什么技术含量，这次提权也让我更了解到JSP在部署的时候，那些bean啦servlet啦这些都是放在WEB-INF下面的。这个管理员也比较粗心，里面都是class文件，但是竟然放了一个未编译的java文件，打开直接得到sql帐号和密码，本来我还在想找个JAVA字节码反编译工具来破呢，结果不需要了。看来还是要细心啊~~~吼吼~~
本文来源于：尼克技术博客 http://www.ineeke.cn/ , 原文地址：http://www.ineeke.cn/archives/2008/04/403/

没看懂

不知道写的什么啊

不知所云啊
  

呵呵 提权的啊  牛人