今天群里的 飘.sky 扔出一个黑客站，说是忘忧小子给他的，这小子最近老不在群里说话，原来是去黑别人黑客站去了，这家伙真坏，群里的兄弟，肯定要帮他测试一下了，下面是过程。

1、信息探测

经过扫描发现，目标站存在bbs，blog ，还有一个网络硬盘，bbs最后经过测试是94kbbs,blog是pjblog2.7的，网络硬盘是XxaspDisk，由于是黑客站，所以未进行注入等的测试。

2、二级站入侵

由于主站不好下手，所以我们准备直接从bbs，以及网络硬盘入手，pjblog也不太好日，最初我是从网络硬盘入手的。用测试账号guest是传，过滤很严格，无法上传。最后利用控件上传，可以成功上传 *.asp;1.jpg类型的文件 ，但是找不到文件路径。这网盘长的有点像桃源的网站，但是以前没有见过，所以经过信息收集发现是XxaspDisk，马上去下载一个源码回来研究，发现利用控件上传的文件居然是直接写在数据库里面，郁闷，由于上一次的上传已经把数据库写坏了。没有办法了，放弃。

94k的bbs 2.1好像没有什么0day，以前也没有黑过，所以下了源码以后，直接查看是否有默认数据库，结果没有发现，看来黑客站的确比一般的站要强大。

3、从idc入手

无意中在网盘登陆那里看到友情连接里面有一个 idc.xxx.org 看来站长还做idc业务呀，真是个牛人，当然这也成了这次入侵最大的转折点。

对idc.xxx.org进行测试，发现和目标站www.xxx.org不是在同一服务器，先不管他，直接去idc注册一个用户，申请试用空间，哈哈，没有想到居然可以试用数据库，直接申请试用一个mssql数据库，注册成功以后，得到一个二级域名，一个免费的50m mssql数据库，当然网站自动开通了ftp ，马上上传一个aspx马，没有想到居然试用的网站都支持aspx 人品暴发了。上传以后直接利用aspx马的数据库连接功能连接数据库。（这里需要说明的是，IDC网站和目标站不在一个服务器上面，但是通过idc开通的网站却和目标站在一个服务器上面，因为星外的服务端和受授端是可以分离的，本次的情况就是这样的了。）

连接以后发现是星外的虚拟主机，根据牛人总结的经验，我们可以直接备份我们的马到 d:\freehostmain 目录下面，但是结果发现D盘没有存在这个目录，因为此方法不行，我们就只能对freehost目录进行列目录了，结果出来了800多个网站，只能一个一个的试了。

4、可爱的fckeditor

经过多次测试，依然没有找到目标站的路径，时间已经过去了两个多小时了，心想，真要是这样漫无目的的试下去，估计我会试到花儿都谢了，眼睛都瞎了还不行。换思路……

记得前面zblog出过一个爆路径的漏洞，详细情况请见http://www.waitalone.cn/post/586.html ，这个漏洞是利用的Fckeditor的漏洞，而pjblog也是利用的fckeditor，那我们是不是也可以利用这个漏洞进行测试呢？有想法就要去实践，马上实施：

http://www.xxx.org/blog/FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php  (URL链接已处理) ，结果可爱的路径出来了

有了路径当然就可以直接备份了，如下图，已经成功把一句话备份到目标站的blog下面

 最后成功搞定目标站