6月26日，流年给了我几个台湾的网站让我一起渗透，是专门做游戏外挂的，当时看了下网站，第一感觉就是非常的棘手，记得网站系统貌似是动易的，也有帝国CMS5.1的，试过所有的利用方式都不成。当时自然也有想到旁注了，不过服务器上所有的网站都是同一类型的，而且基本都是一样的系统，直接拿下的几率几乎为零。

    试了旁注不行的情况下只好去C段，使用扫描器同扫了下C段开放80端口的IP后逐个的查询域名绑定信息，当时是边查便尝试入侵，貌似当时人品不好，搞了大约1个多小时也没任何进展，整个C段IP不活跃，而且服务器上网站又少。不过就在差不多花去两个小时的时候，让我在一台C段服务器上找到了一个网站后台。

King Content Management System! 5，当时看到这个后台系统顿时觉得非常熟悉，因为在此之前没两天我才入侵过这样一个系统的网站，当时也是旁注另外一个网站的时候发现的，然后在登陆口直接弱口令上了后台，至于后台拿shell那就非常傻瓜化了。

    不过这次就没那么侥幸了，尝试了弱口令没有登录到后台，KingCMS这套系统前台是全静态的，根本找不到可利用的地方，唯一的只有上后台，但是现在后台上不了就没有办法了。无奈之下我还是找出了前两天入侵的那个站，翻出shell上去看了下系统结构，仍然没发现上面可以利用的，唯独只知道默认数据库路径和名称。

    抱着试一试的态度还是拿默认数据库路径尝试了现在这个站，没想到的是这个站的数据库路径还真没有改。

当时下数据库时候的心情可激动了，但是没想到是后面却让我心情一下子跌入了低谷，在下载下来的数据库中找到了MD5加密的管理员密码，但是使用XMD5和CMD5两个网站都无法查询到密码。原本心情是很激动了，心想下了数据库得到账号密码拿拿下这个站就不存问题的了，谁会想到管理密码那么变态呢......

      当时搞到了这个地方没有成功了就再也没有其他办法了，C段其他IP上的站基本都让我给尝试了一遍，都没有成功，唯一稍有点突破的就是眼下下载了数据库的这个网站，但是现在连最后一点希望也破灭了.......

       那天感觉特别累，搞了两个多小时，于是便去休息了下，直到晚上9点过起床后依然想到之前网站的事情，没有拿下一直耿耿于怀啊。当时确实是不死心，休息了下脑袋清醒许多后再度思考起来，既然下载数据库破不了密码，那我就拿整个系统下来研究下，说不定就能找出个0day什么的，那岂不是更好？

     不过当时对这个是根本就没有报什么希望的，但最终还是去之前入侵的那个站上打包下载了整站程序到本地来研究，又是一个漫长的过程，在那个地方大约看了一个多小时前台源代码，但是还是没任何发现，直到我上后台，才偶然发现了有个FCKeditor，而且这个编辑器路径隐藏得极深，光猜恐怕是没有人能猜得出来......

      还好的是编辑器漏洞存在，于是在本地测试了下正常上传，这下心情又开始激动起来，立马到目标站上去测试了下，结果一切顺利。

webshell就通过这样拿下了，回味下为了拿这个站还真不容易，前前厚厚一共都是四五个小时，shell拿下后立马找流年一起提权了。

    简单看了下服务器信息，wscript.shll组件没有删除，开放3389就端口，可以连接，然后看了下在C:Program Files目录下有个360的文件夹，当时还以为安装有360，结果打开一看只有个360杀毒。。后来上了个ASPX的shell后发现服务器上有个IDC网站，而且IISSpy功能可以用，而且还可以读取并写入其他网站的权限。ASPX的shell权限比较大。

    当时心想既然有个IDC网站，那么服务器应该也是由这个IDC网站所人员管理的了，于是提权的方向和思路重点就放在了IDC网站上。在后来继续寻找利用信息中找到了IDC网站的管理系统口。

N点虚拟机管理系统，呵呵貌似有听说过，不过对这个不熟悉，也没有怎么研究过。接着使用ASPX的shell查看了下这个系统的的路径，想去找下有没有SA密码之类的。不过可惜的是这个管理系统数据库是ACCESS的。看到这个有点失望，不过当时还是下载了数据库到本地查看了下内容。

看到这个root我兴奋了，因之前有查过服务器安装有mysql，但是现在拿到的这个root密码是加密了的，看起来也不像是mysql系统的加密方式。于是返回到主机管理系统登录页的地方继续看代码，发现了一下一段内容：

elseif request.Form("hosttype")=5 then 
         rs.open "Select * from mysql where FTPuser="&trim(request.Form("user"))&"",conn,1,1
         if rs.bof and rs.eof then
           rs.close
           call SucBox("MySQL用户名或管理密码错误.","index.asp")
         else
             if iishost.Eduserpassword(""&rs("FTPpass")&"",0)<>trim(request.Form("password")) then
               rs.close
               call SucBox("MySQL用户名或管理密码错误.","index.asp")
             else
                                                 ......
             end if
         end if
         rs.close

       在登录口的地方有虚拟主机、域名、企业邮局、MSSQL、MYSQL选项，这里用户若选择MYSQL管理登陆的话就从MYSQL表中查询账号密码验证。于是我打开数据库找到MYSQL表去查看了下内容。

看到这个密文貌似后之前的root密文非常相似呢，但是现在问题是这个密文无法解密的话就根本无法知道root的密码是多少，也就没法使用root提权了，不过现在有写入权限，想登陆到管理系统中是没有任何问题的，到了，这里思路又再一次的陷入了困境……

     另外一边的流年也没有任何突破，无奈只下我想到既然密文如此变态，那么加密函数应该是自己写了，因为我对asp程序稍有了解，断定在登录验证处一定有一个