【原创】记一次不成功的入侵（DB权限一句话写入方法）

权限, 原创

大家好，我是那个上帝之爱/ x5 _, F( g& m  a- C- n( a
在这里先说明一下，虽说这次没有成功，但是操作方法是对的，给新手看一下吧！但是由于种种的原因，这次没有成功，大家别笑我啊！: N. u; Y: @4 @' C# g7 e2 [& H* u
工具：啊D Getwebshell    一句话木马. C7 b" U1 O* X
首先我们先来看一下这个站，是一个企业站，企业站一般难搞，因为有人维护。! ?  H& F3 ~( K; m5 W
先找找注入点吧，肯定是用我们的啊D找注射点了，打开后，啊D很快找到注入点，检测一下，结果是MSSQL数据库，DB权限，不是SA权限，这样的的话没有SA权限好搞。以前我弄得都是Access数据库类型的，可以猜解管理员帐户密码，但是这个就不是这样了，接着看。我们下要查找目录了，**，283个站啊！这先成功了就发了，呵呵呵呵！（结果很失望），出来之后我们来找网站所在的地址，最后找出来了！接下来就要用Getwebshell这个工具了，这里注意了啊！看清楚：找出的有用东西一一对应，前面啊D检测的时候，看图片，上面显示的是数字类型的，还有数据库名称，现在依次填入，括号里面是你的密码，连接的时候要用，填写完毕之后，分为六步，依次点击，等到页面刷新的时候，再点击下一步，这一点主意嗷！然后我们看看写进去了没有，打开出现乱码了！呵呵呵！（后来证明没有写入成功，因为最下面没有显示类型不匹配）请出一句话客户端，输入你设置的密码，把这个一句话写入的地址填入，然后在下面写入小马或者是大马就OK了！点击发送！打开页面后还是那个乱码页面，居然没有得到webshell地址，我*，怎么了！我仔细看了下，原来是没有写入成功！那个汗啊！$ ^4 G/ y. C0 c* S
算了，不搞了，等有机会再搞他，现在学艺不精啊！

附件: 您需要登录才可以下载或查看附件。没有帐号？注册