环境

链接：https://pan.baidu.com/s/1uOplSf1b397DYkNmQf_npg
提取码：079n
复制这段内容后打开百度网盘手机App，操作更方便哦--来自百度网盘超级会员V6的分享

正文

首先进行nmap端口扫描

发现http是部署在27689端口上的，访问一下

放到御剑中目录扫描

发现有备份文件和robots.txt，先看看robots.txt的内容

得到了管理员后台目录和上传文件的目录，下载bak备份文件，找到了数据库的用户名密码

mssql和mysql尝试连接，mssql连接成功

发现记录上传文件的文件名的表

找到用户名密码

登录后，获取到第一个key

点击文件上传

选择一个aspx的一句话木马（我提前改为了.jpg）

先尝试一个成功的

点击管理上传文件，发现文件名前面有一串字符，提示说，如果文件名过长则会被系统截取32位

重新上传，并且将文件名随意填充

回到管理上传文件中，发现刚好被截断了，只剩.aspx

根据前面robots.txt中的/upfile路径，尝试访问，发现404未找到

回到管理上传文件中，复制下载链接

放到浏览器中，删除任意字符，使其报错

发现网站路径中，还有affix这个文件夹，加上去访问

没问题，打开菜刀连接

连接成功

在网站根目录下，发现key2

同时还发现了一个17年12月12日的备份文件，里面记录了sa用户的密码

用mssql工具连接，直接用xp_cmdshell执行命令

使用命令直接搜索，发现桌面上有一个key.txt

更改语句，使用type查看key的内容，但是因为目录带空格，所以我们需要用双引号括起来

原文始发于微信公众号（E条咸鱼）：CISP-PTE 2019综合题解