引子：
    前几天被一站点站长耍了,让我帮他做一个站的模版(水平有限就只有做写基础的赚钱),结果模版做出他也满意的用了.但是我的报酬却... 接下来开始对他的渗透吧...至少自己要对的起自己,受委屈还是要发发飚的

过程：
      telnet ip 80 II6  
      telnet ip 21 ServerU
      telnet ip 1433
      telnet ip 3306
      telnet ip 3389
      2003系统是不用说了 以上的端口开放 虚拟主机应该是支持asp+aspx+php mssql&mysql
  whois.webhosting.info/ip 不用解释了
  虚拟主机大概40个站点... 很快的拿到一个webshell 
  普通的提升方法试了 9种 什么21种 发现管理员的确还是有点水平
  不但补丁打的很快 还做了不少安全的防范
  第一夜 入侵陷入困境 迷茫...
  上传的webshell列出了主机用户名 发现用户名的简介说
  "以Freehost创建的IIS访问用户guest权限" 这句话彻底点醒了我 
   于是经过了一晚上的搜索 加上一些本身对服务器的管理经验 终于想到了他用的是一套web下自动开通虚拟主机的程序(而这里大家注意国内80%左右的主机都支持这样的开通和管理),而这样的程序往往在system32下留下了dll的身影,找到dll的名字应该就很容易搜索到相应的管理程序,很顺利 我找到了安装后一个asp的目录 用来管理站点,呵呵
  读程序... 知道他是如何创建站点的
  add.asp的代码入下

以下是引用片段： <!--#Include File="INC.asp"-->'这里就是数据库的连接和管理员权限的验证 <% J.IsAdmin'应该就是他服务器端组件了 %> **********此处省略了部分操作数据库的代码************* <% end sub sub saved   username = trim(request.form("username"))   userdomain = trim(request.form("userdomain"))   userpath = trim(request.form("userpath"))   usermail = trim(request.form("usermail"))   userband = trim(request.form("userband"))   usercpu = trim(request.form("usercpu"))   useriis = trim(request.form("useriis"))   userspace = trim(request.form("userspace"))   userpass = trim(request.form("userpass"))   userdoc = trim(request.form("userdoc"))   userkbs = trim(request.form("userkbs"))   userday = trim(request.form("userday"))   if username = "" or userdomain = "" or usermail ="" or userpath = "" or userband = "" or useriis = "" or usercpu = "" or userspace = "" or userpass = "" or userdoc = "" or userkbs="" or userday="" then     freehost.showinfo "参数主不要留空!","AddUser.Asp"   else     'NT帐号/硬盘目录/域名/并发数/流量/CPU/首页               Sn = J.CreateSite(UserName,userpath,userDomain,useriis,userband,usercpu,userdoc)     'Sn = "20:True"     Sn = Split(Sn,":")     On Error Resume Next     Set Ns = Server.CreateObject("adodb.recordset")     Sql = "Select * From [" & FreeHost.UserTable & "]"     Ns.Open Sql,MdbConn,1,3     Ns.AddNew     Ns("BbsID") = -1     Ns("BbsName") = "系统添加用户"     Ns("UserName") = FreeHost.EnCode(UserName)     Ns("PassWord") = FreeHost.FtpPass(userpass)     'Ns("PassWord") = userpass     Ns("UserMail") = FreeHost.EnCode(UserMail)     Ns("SpaceSize") = userspace * 1024 * 1024     Ns("SpaceSizeNow") = 100     Ns("DiskPath") = userpath     Ns("Domain") = userDomain     Ns("HostSN") = Sn(0)     If Sn(1) = "True" Then       Ns("Status") = False     Else       Ns("Status") = True     End If     Ns("MaxIIS") = userIIS     Ns("MaxBand") = userBand     Ns("MaxCpu") = userCpu     Ns("DefaultDoc") = userDoc     Ns("FtpAccess") = userpath & "|RWAMLCDP"     Ns("MaxUser") = 3     Ns("IPUser") = 3     Ns("MaxDown") = userkbs * 1024     Ns("MaxUp") = userkbs * 1024     Ns("ChkDate") = Date     Ns("DelDate") = Date + userday     Ns("DelDate1")= Date + userday     Ns("LastChangePassDate") = Now     Ns("Count_Day")=Date     if request.form("vip") = 1 then       Ns("Vip") = True     else       Ns("Vip") = False     end if     Ns.Update     If Err Then       FreeHost.ShowInfo "程序出错,请联系管理员!","HostList.Asp?type=3"     Else       FreeHost.SendMail UserMail,"网站已开通!","<font style=""font-size: 10pt"">"&FreeHost.MailName&"会员信息:<br><br>帐号: "& UserName &"<br>密码: "& Userpass&"<br><br>"&FreeHost.MailName&"<br>"&Now &"</font>"       FreeHost.ShowInfo "用户网站已开通!","HostList.Asp?type=3"     End If   end if end sub %> </body> </html>

因为前提已经知道这个服务器用servu了 所以不需要看那么多 只需要知道他如何建立的ftp 呵呵 一切就变的简单了
于是参考代码自己写了个加ftp的 给自己的ftp开到D盘权限 呵呵 一切目录可以浏览写入了... 至于提升权限... 应该也不是难事了

后来观察了很多虚拟主机管理软件 在管理进行权限验证 都是采用了asp的验证 并没有在组件中进行验证... 于是就...   思路就是这样啦 大家点评下撒