本文已发表于《黑客手册》第六期，转载请注明版权    ，本人此次纯属友情检测，没有对任何服务器造成伤害。文章涉及服务器已经全部打好补丁。请大家不要按图索骥，中国教育网络是脆弱的，请大家不要在给脆弱的心灵增加不必要的伤害 ！

自上次偶利用ewebeditor存在的上传漏洞以及网站管理员的疏忽畅游了排名靠前的几所名牌大学后，在偶的心里留下了些许遗憾，就是中国排名前十的龙头老大清华没有进去过所以在那以后的日子里总想到这个全国最牛的高校去瞧瞧，再续我与中国名校的不解之缘。凑巧，五一到了，由于鄙人身无长物，一个人孤单的在校守着寝室，所以百无聊赖的我想借此良机免费检测一下清华大学。

一、      初探清华
      五二了，一个人在寝室，天天不是逛坛子就是聊天，书怎么看不进去，无聊中想操家伙大干一场，目标是清华大学，像往常一样用明小子和阿D检测注入漏洞，在百度中输入inut:asp site:.tsinghua.edu.cn,几个页面下来还真找到不少注入点，进入了几个后台，有上传的地方，但是无论我以何种方式上传皆是滴水不进，折腾了整个下午，还是后台权限，郁闷极了，算了，我想被我们这样的小菜搞怕了，我还是另辟蹊径，毕竟是世界有名的大学，岂是一般善男信女。

二、      清华，未眠夜之第一晚
1、      曙光再现
五三了，还是没有进展，基本上不想搞了，想放弃了，想起我曾经在检测清华大学ewebeditor漏洞的时候发现她还是有不少的站点用到这个在线文本编辑器的，不过不是密码强悍就是改了数据库路径，貌似太多了我还没有检测完，好，我再继续，呵呵，耐心地找了N 页后终于让我找到一个可以成功进入ewebeditor后台的页面如图1，驾轻就熟拿下webshell如图2 。不要告诉我不知道怎么拿webshell，不要问我，看前几期的黑手去。


                              图1 （登录界面）

                                  图2 （轻松拿下webshell）

仿佛一切来得太容易了，接下来是提权了，唉，累了，睡觉吧，不急，有的是时间晚上再搞，没有睡午觉还真累了。

2、      未眠夜
一觉醒来快晚上十点了，放了几天假，生活规律也乱了，慌乱的到学校的食堂吃点东西回来继续，打开我的webshell，收集一切有利于我提权的信息，先net user 发现有ASPNET用户，按照往常的惯例貌似支持解析aspx，可是我上传我的aspx木马，但是却不能解析，看来没有启动解析aspx的服务，netstat –an 看到开了远程终端和pcanywhere



                                  图3

没有找到43958端口，net start中看到服务器是有mssql，pcanywhere, Terminal Services,如图4，只有这几个对我们的提权有帮助，整理一下思路，
A、      有MSSQL，可以找sa用户和密码，通过sqlrootkit提权
B、      破解pcanywhere密码，如果登录密码和pcanywhere相同，呵呵，那就太好了
C、      本地溢出

[1] [2] [3] [4] 下一页