一次失败的入侵

技术点评：本来这个教程不想发了的，因为入侵议题域名转向导致作者误认为他的目标是这次入侵议题，并且还使用了旁注入（还没搞到他目标的权限。）所以说完全失败。
关于教程作者的提问这里给出回答：cer为下载说明对方将映射删掉了。导致不能执行asp代码，所以就变成下载了。

虽然作者不大才16，但是希望来到黑防就一定要沉稳的走每一步。

  大家好```我是Jury，今天看到黑防的网站上有一个类似议题的东西```我就进去看了一下``
  其实就是黑掉这个站```

我粗略的看了一下``
没有注入点```于是很自然的想到了旁注```这么多站```随便选一个```
老太太捏柿子```赶软的``呵呵``
企业站的安全性一般较差```!
似乎是没有注入的```
不过不要紧```注入不是唯一的方法``
我们来试试弱口令```admin admin
rp!
来看看有没有什么可以利用的地方···
呵呵```EWEBEDITOR````
出现了```
来试试默认的用户密码```
看来管理员改了帐号密码哦```
来试试下载数据库```
还是先试默认的```
帐号一看就admin了```这里不浪费时间```
这个是开始我自己加的```
结果大家也看到了``还是不能上传ASA````
这个可能是因为数据库被设成了只读的```无法更新数据库```
来看看EWEDEDITOR的上传漏洞有没有```
这个版本是1.1.3的``很早```估计会有吧```
呵呵```出现了```
我们用一个EXP```
这个EXP是我从网上找来的```
其原理是利用了UPLOAD.ASP的注入````
这样就可以上传CER和ASPX了````
卧了个槽```竟然是下载！无语了```怎么会这样````
想不通```那位高手知道的告诉下我```
我用了另外一种方法```
我们都知道```EWEBEDITOR是会过滤ASP的```我们换成AASPSP就没有问题````
看```这里的ASPX只剩下一个X了```
成功~!!!
留一个黑页吧```其实我是不喜欢挂黑页的```因为对站长特不尊重```可我看见黑防给的议题视频里也挂了```那我就不客气了```
我很郁闷的是````为什么CER木马会变成下载呢````
还有```
既然这个站和议题站是在一台服务器上的``为什么我没有找到呢```
这两个问题```
希望知道的告诉一下```