这是我之前在绿色兵团时写的一篇文章，是我自己原创的，思路借鉴了一篇t00ls里的，进行了改进。我在绿色兵团的账号名字也是leisureforest
真实性毋庸置疑，希望给过。thanks
数据库抓包另类备份
地址https://www.jb51.net/(仅用于替代目标网站，非本站)
数据库抓包另类备份
又是旅游网。我刚才发了一篇文章，正想走，外面下雨了。实在是闲的难受。再写这个，提提我人气。
数据库抓包另类备份
这个地址是一个家伙发给我的，他说让我试一试，我随便找了个链接http://www.kmholiday.com/Travel/Travel_line_view.asp?lineid=1030’加了个特殊字符，马上返回错误信息
数据库抓包另类备份
Microsoft JET Database Engine
数据库抓包另类备份
错误'80040e14'
语法错误(操作符丢失) 在查询表达式'id=1030‘' 中。
数据库抓包另类备份
/Travel/Travel_line_view.asp，行 41
数据库抓包另类备份
数据库抓包另类备份
什么意思嘛。这不明摆着让我搞他。access的数据库，直接上语句，and exists(select * from msysobjects)
数据库抓包另类备份
数据库抓包另类备份
Microsoft JET Database Engine
数据库抓包另类备份
错误'80040e09'
数据库抓包另类备份
不能读取记录；在'msysobjects' 上没有读取数据权限。
数据库抓包另类备份
/Travel/Travel_line_view.asp，行41
数据库抓包另类备份
有这个表但是不能访问。好的 接着执行and exists(select * from admin) 正常页面 ；有admin表---- 帅
数据库抓包另类备份
and exists(select count(user) from admin)还是正常页面有user字段
数据库抓包另类备份
and exists(select count(psw from admin) 正常页面，密码字段。
数据库抓包另类备份
用户名aidy 密码28B9E7A5FADBDB964E9069BC82AC2AF9 32位加密的，吓死我了。去MD5搞了下，汗19850311 奶奶的，真唬人。这时我就给那人发信息了，这个也太简单了吧，还高什么，他说，拿到shell才算。好吧接着搞。
数据库抓包另类备份
找后台，这个可真难住我了。先上工具，扫了四万多条愣是没找到。其实这种情况他肯定有个目录很难差，根本不好搞，怎么办，还是google ，用了好几个语句，只找到俩登陆页面但是都不对。还是回到首页看图片，但是右键不能使用，不让查看属性。最后下载的时候从迅雷里看的地址。我真有办法哈哈……
数据库抓包另类备份
找到这个页面了http://www.kmholiday.com/adminsheeninfo/直接跳转登陆。
数据库抓包另类备份
进去之后发现有数据库备份。先找了个上传，上传了个图片木马正当我兴致勃勃地来备份的时候，出问题了，原来备份路径不能修改。也就是说你备份只能备份mdb数据库文件，备份之后的文件名为asa,这个倒是没问题，iis可以解析，关键是路径不让动，这可难死我了，怎么办呢。还是右键查看源码吧。找到了这个链接
数据库抓包另类备份
https://www.jb51.net/ adminsheeninfo/Oledit/ewebeditor/汗，又是编辑器，编辑器啊编辑器，又是你，都不想搞了，进入编辑器，登陆页面也没有删除。现在我写文章的时候被删了，我知道是谁删的（不是我），不截图了。进去还是那个用户名密码。找到样式管理，原来的样式保存按钮被删除了，他以为这样就安全了。那么我copy了一个样式，在新创建的样式里，添加了asp格式。asa.但是都没有成功，其实如果在这里添加aaspsp就可以了，但是我没想到他有这么蠢的漏洞，我就没这么搞。难道我会拿不到shell。不可能。
数据库抓包另类备份
于是我苦思冥想，终于想到了一句话木马。后来一看人家两年前就有人想到这个 *** 了，就是在添加新闻那里插入一个新闻抓下包，然后改新闻内容为自己的一句话nc提交、如下图
数据库抓包另类备份