反常规and 1=1的or 1=2注入技巧

原来是判断文件头，这时我们可以借助ASP图片木马生成器这款软件，先把一张比较小的图片（经过后来的测试发现除了判断文件头还判断大小）和一个asp一句话木马放到这款软件的目录下，写好名称进行生成，如图8。

就会在所在目录生成一个“aspmuma.gif”图片木马，把它上传上去，如图9。

把返回的相对路径按照上面的方法替换好，打开后如图10，

写好备份后的路径进行备份，如图11。

用lake2的eval最小马发送端连接上去，如图12。

Serv-U 6.4提权
    拿到WEBSHELL只要修改下数据库就可以拿到VIP会员了，相信大家都会，以前的手册也有介绍过。既然拿到SHELL，不提权怎对得起自己呢？先来看看这个虚拟主机是用什么FTP软件搭建的。“开始”-“运行”-“FTP www.xxx.com”，如图13。

最近，6.4这个版本有人发布了提权asp出来，于是我下载回来进行测试，发现无法成功提权，很多朋友都和我一样觉得很郁闷。其实网上的ASP大多都是依赖XMLHTTP这个组件来访问本地的43958端口添加系统权限FTP用户，那么我们不用XMLHTTP来替我们添加FTP用户而是我们自己创造条件来访问43958端口又行不行呢？
    上传一个被压缩过的CMD.EXE（因为IIS6.0默认不让上传超过200KB的文件）和一个转发工具：Fpipe.exe到“C:\Documents and Settings\All Users\Documents”这个目录（这个目录默认是everyone权限），并且已经在本地安装好SERV-U。
在WEBSHELL执行“"C:\Documents and Settings\All Users\Documents\FPipe.exe" -v -l 43959 -r 43958 127.0.0.1”，如图14。

执行之后IIS会处于假死现象，到了这时之后操作一定要迅速，不然被管理员发现网站访问速度慢了许多就麻烦了。打开SERV-U，右键新建一个服务器，如图15。

第一步输入目标IP，第二步会提示要你输入端口号，这时我们输入转发出来的端口43959，第三步输入FTP服务器名称，可以随便输入，第四步输入默认维护帐号“LocalAdministrator”，第五步输入默认密码[email=“#l@$ak#.lk;0@P]“#l@$ak#.lk;0@P[/email]”，连接对方FTP服务器，如图16，

发现已经得到对方FTP服务器的管理权限！新建一个FTP用户，在“帐户”-“特权”那里选为“系统管理员”，在“目录访问”那里把所有权限勾上，最后“应用”，如图17，18。

    “开始”-“运行”-“FTP www.xxx.com”，输入刚才新建FTP用户和密码，因为对方开了3389，所以连接上后执行“quote site exec net user Tommie nohack /add & net localgroup administrators Tommie /add”，返回“200 EXEC command successful”说明成功添加了一个用户是Tommie密码为nohack的管理员，如图19。

登陆3389，打开“任务管理器”-“进程”，勾选“显示所有用户的进程”，找到转发工具的进程Fpipe.exe结束之，如图20，

使IIS再次恢复正常工作。
感想
    这次入侵让我回想起Gene6的提权，虽然虚拟主机的目录权限早已设置得死死的，但兴幸的是Documents这样的目录并没有被设置，而且Serv-U默认只允许127.0.0.1（也就是本地，当然，你也可以把Serv-U设置成0.0.0.0这样，也就是无限制连接）访问43958端口，所以可以通过转发来解决来这个问题。经过多个版本的测试，这个目录无修改权限的提权方法是通杀所有版本的。前提服务器必须要支持WScript.Shell组件或支持执行命令。最后文章有不清楚的朋友可以直接到黑客手册论坛找我。论坛Id:Tommie。