目标站点是老Y文章管理系统v2.5的。在网上找了下，目前基本上没有什么可直接利用的漏洞，于是开始旁注
上http://ip.468w.cn/查了下。服务器上150个站，用super injection导入全部站点后批量扫描注入点，很快拿到了服务器一个asp的shell,可是权限很低.几分钟过后又拿到同服另外的一个.net站的shell，初步看了下，星外的虚拟主机，设置得比较安全，除了当前站点目录和c:\windows\temp可写入，找了许久都没找到一个即可写也可执行的目录。这样信息获取的就比较少了，所幸在注册表里HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11找到了星外虚拟主机配置信息 mssql sa密码 (32位md5加密,感谢sht同学帮我查询收费记录)


,速度连接上去，
却没看到诸如freehost之类的数据库，sa被降权了，mysql 的root密码也是一样的可惜也被降权了，都是独立帐户启动的数据库.mssql backupdata时除了temp目录可写，其它目录都不能写，xp_cmdshell,xp_dirtree,xp_oacreate,等那些存储过程都不可用，上传相关dll文件尝试恢复提示拒绝访问，不过还可以用xp_subdirs列出d:\freehost的所有子目录来。但是目标web路径没有用域名这类的作为名称，花了大半天的时间才找到目标站的路径。大致 *** 就是通过whois查到管理员的qq邮箱,再通过搜索qq，找到管理员常用用户名xxx336，再在列出的子目录里找到一个xxx336的目录，exec master..xp_subdirs ‘d:\freehost\xxxx336\web’ 的确老y文章管理系统的目录结构不过后台目录被改了这下也暴露出来了，目前知道后台地址，web目录。Qq，常用用户名，把这些整理成一字典 进行后台密码和ftp穷举，也失败了。于是想打数据库的主意，老Y文章管理系统的配置文件为/inc/config.asp,的参数中有数据库路径，于是在网上相关 mssql读取文件内容的 *** ，总算是找到了，也许牛牛们早就知道了，但我还是之一次用到，拿出来分享下希望对没有接触过的同学有帮助以免走弯路，
用查询分析器执行如下语句
Use xxx120;--(这里是随便选的一个数据库)
drop table cmd;
create table cmd (a text);
BULK INSERT cmd
FROM 'd:\freehost\xxx336\web\inc\config.asp'
WITH (
FIELDTERMINATOR = '\n',
ROWTERMINATOR = '\n\n'