某天群里发了一个连接，然后众多基友一起搞。。。。。。

Windows server 2003的系统，网站容器是IIS6.0，数据库是MSSQL，权限是SA，开启xp_cmdshell扩展组件。

通过报错得到网站绝对路径为：g:\school\

由于该网站内网很大，而且都不是托管在某个IDC，都是自己买服务器自己买网络设备请人运维，所以导致没有CDN，有很多个子域，每个子域对应一台独立服务器，其中每个子域的操作系统都不同，有NT系统，有Linux系统，内网不算特别复杂。

#2 突破口

突破口纯粹是靠思路，找这个突破口找了我三天，第三天利用这个突破口直接拿到子域控制器管理员权限。

网站后台如下： http://www.xxxxxxxx.com/admin/login.aspx

打开后发现后台界面很熟悉，尝试了一下发现有POST SQL注入

这里是真的坑，知道了网站的绝对路径，并且是SA权限xp_cmdshell又是开启的，可以直接写一句话，但是写了半天都回显盘符不存在，而且发现数据库挂了但是网站容器没挂，遂推测站库分离。

附上aspx的菜刀一句话

用dir命令递归查找a-z盘符，发现存在C盘 S 盘 Q盘 R 盘，在R盘发现大量的网站数据库备份，估计是定时备份的任务。

#3 渗透开始

通过whoami发现权限是管理员权限，ipconfig发现是内网IP，思路如下：

1、通过VBS下载LCX到目标服务器，转发目标的3389端口到外网服务器

2、通过VBS下载远控直接到目标服务器执行，即可。

既然思路有了，那就echo写vbs脚本了。

保存在当前路径，在os-shell会话中执行dir得到路径为c:\windows\system32下。

不能做目录跳转，不能切换其他盘符，很蛋疼。

写好后通过 cscript 6.vbs执行脚本，然后发现又是非常蛋疼。

这个网站的数据库非常脆弱，很容易挂，所以就造成vbs脚本不完全，执行错误，下载失败等问题。

陆续写了几十个vbs终于有一个能用，成功下载LCX执行后发现LCX莫名其妙没了。。。。。

还有杀软。

最后用玄学搞定了杀软执行LCX却发现怎么都反弹不到我的服务器上，显示error data。。。。。

然后查看3389是否开启执行：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal' 'Server\WinStations\RDP-Tcp /v PortNumber

结果妈的发现没回显16进制的数字。。。

使用tasklist /svc后发现数据库被我跑挂了。。。

然后又是开启玄学

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal' 'Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

然后

tasklist /f /t /im lcx.exe

在重复了几十次之后，我终于看到了windows 2003的登录界面。

然后就是添加用户，添加了好几个小时

因为你会看到明明回显成功添加，而且net user可以看到添加用户，但登录的时候就显示用户不存在或者用户不在远程管理组。。。

无比蛋疼删掉用户重来。

然后一次偶然的尝试，进来了。。。

然后发现这只是这台子域控制器的小弟账号，我要拿到管理员。

然后传法国神器。

注销使用Administrator登录子域拿到这台子域控制器的管理员权限。

至此我控制了MSSQL服务器，挺有意思，不止一个网站的数据在这台服务器上。

然后开始搞域控。

域控是一台08的服务器。

然后开始。。。

文章最后总结一下思路。

文件报错发现绝对路径（SA权限）-->后台万能密码登录-->POST SQL注入-->2003系统X64,IIS6.0-->SA权限-->xp_cmdshell-->发现服务器没有g:\盘-->推测站库分离-->whoami-->管理员权限-->ipconfig-->内网-->vbs下载LCX-->开启3389-->转发到外网服务器-->添加用户-->法国神器-->拿到子域管理员--->尝试解密SHA1密文--->ARP嗅探

写在最后：

想要目标网站的可以在下面留言告诉我这张图的答案。

谁能告诉我，1-9都是什么人？在哪部电影里？

因为我真的好想看啊！！！