打開(kāi)網(wǎng)站發(fā)現(xiàn)IIS設(shè)置了允許目錄瀏覽，這就好辦了。服務(wù)器上的文件全在我們眼皮底下了。

　　如圖1：
　　接著在http://www.jinbenteng.com/yth2/看見(jiàn)articles目錄，articles中文是文章的意思，
　　肯定是文章系統(tǒng)，還看到articles.rar



圖2
　　用迅雷下載回來(lái)一看，果然是該站新聞系統(tǒng)的源代碼。打開(kāi)里面的網(wǎng)站數(shù)據(jù)庫(kù)，找到管理用戶3個(gè)。密碼經(jīng)過(guò)MD5加密了的，超管的密碼無(wú)法找到。不過(guò)破解了兩個(gè)文章管理員的密碼



圖3
　　用普通用戶登陸到后臺(tái)，發(fā)現(xiàn)只能寫(xiě)文章。



圖4
　　不過(guò)我們能夠自己修改密碼。


圖5
看到用戶名一欄了吧，tonesung是只讀屬性，并不能修改，我們把該頁(yè)面保存到本地，
修改去掉readonly
再修改action="http://www.jinbenteng.com/yth2/articles/admin_admin2.asp?id=26"好了，我們把tonesung改成超級(jí)管理員的賬號(hào)名：金奔騰公司密碼不變。



圖6
　　提交后提升成功!



圖7
　　到這里還未結(jié)束，我們只是把普通管理員的用戶名修改成與管理員一樣的名字了。權(quán)限依舊很低。
　　我們?cè)偃ttp://www.jinbenteng.com/yth2/articles/admin_admin.asp下修改密碼。
　　這次不需要本地提交了，直接換個(gè)新密碼，這時(shí)修改才是修改超級(jí)管理員的密碼。



圖8
　　提交修改后提示成功!
　　我們退出再用管理員賬號(hào) 修改后的密碼登陸成功!



圖9
　　到了這一步，拿webshell就非常容易了，備份、修改上傳限制都可以成功
　　假設(shè)上面的提權(quán)方法不成功，我們還有第二種方法。我們通過(guò)目錄瀏覽看到http://www.jinbenteng.com/yth2/articles/data下的asp后綴數(shù)據(jù)庫(kù)。



　　圖10
　　這樣我們就可以插入一句話了，可是asp數(shù)據(jù)庫(kù)中含有防下載代碼，
　　直接訪問(wèn)出現(xiàn)如下提示：
Active Server Pages 錯(cuò)誤 'ASP 0116'
丟失腳本關(guān)閉分隔符
/yth2/articles/data/#db1.asp，行 37194
Script 塊缺少腳本關(guān)閉標(biāo)記(%>)。



圖11
通過(guò)查看數(shù)據(jù)庫(kù)源文件發(fā)現(xiàn)里面有如下代碼：


圖12
　　不過(guò)我們可以過(guò)濾他。
　　我們先用普通管理員去發(fā)布一條新聞，發(fā)布新聞內(nèi)容里面填寫(xiě)：┼砧



圖13
　　再打開(kāi)http://www.jinbenteng.com/yth2/articles/ly.asp去留言!留言內(nèi)容填寫(xiě)：┠礫



圖14
　　好了，我們?cè)僭L問(wèn)
　　http://www.jinbenteng.com/yth2/articles/data/#db1.asp



圖15
　　呵呵，成功解析了。
　　下面又去留言，留言內(nèi)容輸入┼攠數(shù)畣整爠煥敵瑳∨∣┩愾┼砧再用ASP連接段連接。密碼為#。突破數(shù)據(jù)過(guò)濾思路，原創(chuàng)者的帖子地址：http://forum.eviloctal.com/viewthread.php?tid=29824&highlight=loop里面非常詳細(xì)的講解了具體利用過(guò)程以及原理!