内网漫游时，正好发现了一个奇怪的页面。同时又突发奇想心血来潮闲的蛋疼 bal­a­bala 的想试试远古的工具包实际效果，于是就开始了我们的测试啦，因为这个站非常没有技术含量 and 早就废弃不用了，所以我就拿出来氵一篇文章了，不然博客都长草了

目标是这个

第一步信息收集，怎么做呢？肯定是先御剑走起啊。

御剑扫的同时，先看看页面整么做的。

看了一下，发现是一个 asp 页面下面加上好几个 html 页面，然后用 ajax 请求。看到这瞬间知道没什么希望了

但是天无绝人之路，御剑发现目录下有个 BOOK.MDB，直接走起下载。读取查看，

看样子确实是动态的

我们看看有没有什么密码

现在用户名密码有了，问题来了，找不到登陆的地点。

各种尝试过后，失败.jpg

换去扫端口，nmap 走起。

发现除了开启 88 端口外，80 端口还有一个站点。

同时还有开放 1723，1433，1025，1026，3389 等一些服务，

其中 1723 和 1025，1026 这几个应该是没啥办法的了，这分别是某服务也 win­dows rpc 服务。

我们转到 80 站点看看

感觉有戏！先看看站点。

试了下登陆，没有回显。再看看题目那里 sql 注入

继续掏出御剑，走起

尝试下载。失败

这时候我们发现了个 Up­file

emmm 果不其然失败了

但是我们看这个路径 up­file.asp?jpg­name=

立刻掏出我们的 Fid­dle，构造一个上传请求，asp 马，上传.jpg

发现服务器是 win­dows 2003 的，站点是 IIS6.0

但是我们发现我们的服务很死。

win­dows 甚至没有执行权限，cmd 命令都无法执行，我们上传个 cmd，执行试试。也不行。

然后想起了站点时 IIS6.0，从工具包里找个 pr.exe。

pr 原理大概就是已 NET­WORK SER­VICE 权限运行的用户可以试着提权到 SYS­TEM 权限。

抱着试一试的心态上传了这个 ex­ploit，执行

em­mmm 卧槽？真的成了？？？

然后就连上去了 doge。。