看到用戶名一欄了吧，tonesung是只讀屬性，并不能修改，我們把該頁(yè)面保存到本地，
修改去掉readonly
再修改action="http://www.jinbenteng.com/yth2/articles/admin_admin2.asp?id=26"好了，我們把tonesung改成超級(jí)管理員的賬號(hào)名：金奔騰公司密碼不變。



圖6
　　提交后提升成功!



圖7
　　到這里還未結(jié)束，我們只是把普通管理員的用戶名修改成與管理員一樣的名字了。權(quán)限依舊很低。
　　我們?cè)偃ttp://www.jinbenteng.com/yth2/articles/admin_admin.asp下修改密碼。
　　這次不需要本地提交了，直接換個(gè)新密碼，這時(shí)修改才是修改超級(jí)管理員的密碼。



圖8
　　提交修改后提示成功!
　　我們退出再用管理員賬號(hào) 修改后的密碼登陸成功!



圖9
　　到了這一步，拿webshell就非常容易了，備份、修改上傳限制都可以成功
　　假設(shè)上面的提權(quán)方法不成功，我們還有第二種方法。我們通過(guò)目錄瀏覽看到http://www.jinbenteng.com/yth2/articles/data下的asp后綴數(shù)據(jù)庫(kù)。



　　圖10
　　這樣我們就可以插入一句話了，可是asp數(shù)據(jù)庫(kù)中含有防下載代碼，
　　直接訪問(wèn)出現(xiàn)如下提示：
Active Server Pages 錯(cuò)誤 'ASP 0116'
丟失腳本關(guān)閉分隔符
/yth2/articles/data/#db1.asp，行 37194
Script 塊缺少腳本關(guān)閉標(biāo)記(%>)。



圖11

最新評(píng)論