【转载】

昨天某基友找我帮他拿个shell，如上图，四点后，我当时在网吧，然后远程给他看了下，后台功能挺多的，但是没法上传，站点设置能修改上传的后缀，虽然直接改成asp被拦截为非法后缀，不过我相信可以绕过，可是，这不是问题，问题是，没写入权限，看图：

基本设置，点击保存，提示这个，目测是没有写入权限的原因。当然，这也还不算问题，真正的问题，让你们吐血。。

我不会告诉你们，我传的是正常的，没有加一句话的JPG图片。。。这里上传任何文件都提示不允许上传。。

我问基友还有没有别的地方有上传，他说找了半天就这里有，这站服务器不稳定，听说还是独服呢，卡的要死，有时候刷新3、4分钟都没反应，有时候呢又还正常。。 只能说，这站垃圾的要死。。我都没继续的心情了。。现在还出现这样的坑爹的情况，当时又还忙着做事，就没看了。

然后今天回到家里，顺手打开看了下，速度正常了，那我就在继续看看吧。

我看了下这站有数据库备份功能，原本想插马备份成asa后缀的，结果。。

需处于维护状态，要改成维护状态，需要在上面的站点设置里面更改，而站点设置根本没法更改啊。所以，再次苦逼了。

然后我想到了昨天有看到过sql语句这个功能，当时没看，所以我现在在看看那个功能呢，

我执行了下sql语句试试，居然可以。。好嘛，看来有戏，直接用sql语句来写shell吧。

物理路径，在后台首页就有显示，并且也显示了服务器是iis6.0，对了，说下，目测这个程序是南方精良，根据后台界面和网站的一些文件，我估计是南方精良改的，不过他不是用的ewe编辑器，他这个编辑器也没法上传图片。

现在，我们执行sql语句写shell吧~

一路都没提示出错，那么直接菜刀连接吧~

好嘛，就这么秒了。。。额，注意哦，我这个站是iis6.0，所以我导出的马儿文件名是这个，马儿文件名因站而异、

shell拿下了，基友的任务也完成了，唔，刚随手看了下，目录居然都可读，shell组件也还存在，那应该提权容易吧，我就不继续了，最近事情很多，忙死了。

文章来自：http://sbqing.com/1981.html