通配符的魔力—輕裝入侵個人主頁空間

　　最近學習ASP，想申請一個免費空間。找到一個滿意的一看，限制還真不少，不但最多只能放30MB的文件，單個上傳文件還不能超過1.5MB，而且也不支持ASP。這怎麼行呢?嚴重打擊我學習的積極性。於是我就想能不能突破網站的限制。

　　首先用X-Scan2.3掃描，不一會兒結果出來了，有用的信息有：“Windows 2000操作系統，139端口開放”、“80端口開放，Web服務器用的是IIS”、“1433端口開放，用的是MS SQL Server”、“3389遠程管理端口在開啟狀態”。

　　看來只有對Web下手了。觀摩了一下這個PHP個人主頁系統，不管了，先用簡單的辦法碰碰運氣。用自己的賬號和密碼登錄進去，(這是一個Web方式管理的個人主頁系統，不支持FTP)，在個人主頁根目錄下建立一個rich4文件夾，把自己曾玩過的save1.dat(游戲記錄文件)傳上去。這時我看到IE的地址欄變成了：“http://***.php?action=chdr&file=%2Frich4”，看到這個地址的奇怪之處沒有，我把rich4文件名改成“/.”，地址欄就成了“http://***.php?action=chdr&file=%2F/.”。再接再厲，把“/..”改成“/../..”即“***.php?action=chdr&file

　　=%2F/../..”居然看到了Recycled目錄。看來進入硬盤根目錄下了。這個硬盤有不少文件夾，有個人主頁目錄Free(這個目錄下放著很多個人主頁的文件夾)，還有一個備份目錄。有什麼呢?進去看看，在admin子目錄中有個global.asa文件，點擊編輯，哈哈，果然看到賬戶了。後面的過程就不說了。

　　後記：

　　其實這個免費主頁空間的管理員還是有一定安全意識的(Windows 2000系統安裝在C盤，IIS安裝在D盤，個人主頁安裝在F盤)。問題出在什麼地方呢?

　　1.個人主頁采用PHP系統，但是沒有過濾“/”、“.”等特殊符號，所以可以遍閱F盤下的任何文件;

　　2.個人主頁後台管理系統采用ASP系統，放在D盤下，但是居然在F盤裡放了一個備份，讓我閱讀了global.asa文件，看到了MS SQL Server的“sa”賬戶密碼;

　　3.沒有取消“sa”賬號的遠程連接，也沒有刪除xp_cmdshell，使得我可以執行cmd本地命令。