”通过DiY-Page 6.5拿Shell小记

此文由刀客城会员整理：http://forum.daokers.com/read.php?tid=638
顺便说一下，此文也有一定的局限性，因为看完之后发现最终的突破点是利用Windows2003的IIS6.0解析漏洞来实现小马的解析，如果是Linux系统就很难说了。

目标站：http://www.site.com
看了下，收集的信息如下：
主站为php脚本语言，论坛dz7.0；
服务器为win2003；
开放21，80，1433，3306，3389端口。

说实话，只要看到是php的站，我就没什么把握，一直对php不感冒，论坛还是dz7.0的，就不去想了。

还是拿出啊D先扫一些敏感目录吧，字典不够强大，只扫出来了http://www.site.com/install
原来是DiY-Page 6.5的安装目录。

安装目录竟然没删。。没听说过DiY-Page是什么玩意，还是先看看再说吧，一路next下去：

嘿嘿，看到了数据库用户密码，用牛族的mysql连接器连上，可惜不是root，由于对mysql不熟悉，所以这条路走不通了。反正是个小站，只管next，也不怕改变数据 嘿嘿！到最后重新设置了DiY-Page的后台密码，直接登录：

原来用的IIS6.0 – - !开始找地方拿shell。
针对php拿shell。了解少的可怜，只有慢慢摸索。看到可以新建模板，不知是否和dz后台拿shell差不多。

新建一个名为 test的模板，然后编辑源码：

写入php大马，保存。
嘿嘿，php大马登录页面直接出来了：

当时感觉拿shell这么简单，可接下来，我发现并非如此:

在shell里，做不成任何事，无论点什么 都会跳到后台首页，郁闷了，以为是在后台的原因，
所以直接访问shell地址：http://www.site.com/dpstyle/basic/test.tpl.php

直接stop，感觉不对劲，赶紧回去看看大马源码，才发现代码前面多了一句<?php exit(“STOP”); ?>
无论怎么改，保存后都会自动生成这句代码。
怪不得。。。放弃这条路 – - !
继续在后台转悠,在数据库备份那里发现可以上传备份文件:

经过测试发现,只能上传zip和sql结尾的文件，但是上传之后文件名字不会改，哈哈！前面不是说到服务器上装的是IIS6.0么，我们可以尝试那个解析漏洞啊！

提示上传成功，可是蛋疼的事来了，找不到路径 – - ！
折腾了怎么久也没拿到shell，郁闷坏了，实在没办法了，重新从install页面看起，

没想到竟然是这样得到webshell的。呵呵，先前说的上传后文件名字不变是错的，因为，程序自动在文件名字前面加了个”bak_”
此次拿shell也算结束了，对我来说算是有点小曲折吧，文笔不好，大家凑合着看吧。