Admin目录，很明显是管理员才能进的目录，里面可能有着大堆的敏感操作，偶就是利用从这些后台的操作进来的，你怎么就不知道改个名字呢？databases目录竟然是默认的数据库，我就是从那个目录下载的数据库，你都不知道改一下默认数据库的地址啊！真被你气死了。再看看uploadnews目录，虽然你在系统上把网站程序文件设置为不可写，可是这里是上传图片用的，所以还是被你设置可写了，算了，等下说到IIS服务器漏洞的时候再手把手教你好了。网站的程序不怕漏洞百出，只要经过巧妙的配置，不被利用就可以了，你的网站程序漏洞实在太多，web程序漏洞几乎应有尽有，说一个一个的补丁上，那不现实。偶也没时间一个一个分析，只能把如何防御入侵教给你。

    默认的数据库地址，导致两个管理员的密码暴露，用户“admin”，密码加密的。MD5加密的确安全，但是你的密码是“77169”这样的纯数字，破解只需要几分钟而已，可别告诉我说这也是你的银行卡密码哦？或者是私人邮箱的？或者企业对外业务邮箱的？上次有个很重要的密码竟然是“数字加大小写字母加特殊字符的不规则序列”，害偶的肉鸡跑了几个月硬是没效果，只好放弃。

    有密码，又有默认的管理目录，就像黑暗中的明灯指引着偶。更何况后台具备数据库备份和文件上传功能，其实偶一直很奇怪，数据库备份一定要在网站后台备份么？大家都喜欢把asp木马改名为gif文件，通过正常的上传文件功能上传，然后再利用备份数据库的功能把它备份成ASP文件。这样就可以绕过上传文件中的“只能上传图片文件”的限制。你既然是网站管理员，应该能够使用FTP登录上去把数据库备份文件下载到自己的机器上才对。

    网站的跟目录没有写的权限，却可以上传文件，说明上传文件目录是可写的。所以ASP木马自然可以备份到那里。怎么？你说这个目录是常用的，必须要有写的权限？好吧，最终的防御，IIS+文件访问权限配置。再来看看这个网站程序的目录结构，需要写的目录有“upload系列目录”、“databases目录”。这部分的文件权限，你设置的还不错，但是缺少IIS的配合。在可以web访问的目录中，凡是需要写权限的目录，应该都是没有asp文件的。你只需要在IIS 下，选中这些没有asp文件的目录（upload系列目录），点属性->主目录（或站点下目录->属性->目录）面板->执行权限下拉列表，在列表中选择“无”。这样即使这些目录中被上传了asp木马，也不能执行。

    Database目录的权限需要重新设置，偶教你一招比较毒的，在IIS控制面板下，删除不必要的应用程序映射IIS默认存在很多种应用程序映射,如：“.cer、.cdx、.asa”，为整个站点添加一个新的映射，到windows目录里随便找个最小的DLL文件，让它解析.MDB文件。这样设置后，当用户访问.MDB文件时，IIS会调用DLL来解析，但是发现解析不了，造成了不能访问所有的MDB文件，整个网站的MDB文件都不可能被下载。

    当然，网站程序中还有注入漏洞，会被拿到管理员密码，没关系，你的管理员目录不是改了么？即使还被找到了，密码也是前面的BT密码，入侵者拿到了也没用。记得后台一定要隐藏起来，因为后台里的功能太敏感，有多敏感你就不用知道了，只要把目录改为类似于“/fbhdj90tc099D52it168afd52ixpubjskhatttttccf/”。一定要长于20个字符，否则会被扫描出来。最后一点，才是更有意思的，偶发现贵公司的服务器上似乎还有其他的网站程序，太好了，入侵一个网站，等于入侵N个，嗯，偶去“提醒”其他管理员去。怎么？都是你维护的？好吧。

    一个网站只对应一个IIS用户，每个IIS用户都只能访问自己的网站目录，绝对不能让everyone的权限可以遍历所有的文件夹。只要有一个网站，就必须在系统新建一个GUEST权限的账户，把IIS交给这个新建的用户管理，保证这个用户只能访问自己目录。

    好了，看到了这里，你应该有了一定的思路去防御了吧？只要是入侵，必定先有个路线，你把它堵死了，自然就进不来了。当然，偶毕竟是个外来人，你可不能完全信任偶说的话，应该再到google上搜索下关于“IIS权限配置，windows2003权限配置”的文章，看完了写篇3W字的读后感。最后提醒一句，小心偶留在服务器上的asp后门。说不定偶那天闲了，会带吃肉不吐骨头的专业人士从留下的后门回来看看的。
　　　　　　　　　　　　　　　　　　　　　　　　　BY 中国X黑客小组（临走栽赃陷害下^_^）

    信写完了，把它放在网站唯一的可写目录“Uploadnews”下，然后以管理员的密码为题，给他EMAIL一个，告诉本文档在服务器的路径，相信聪明的管理员一定能从信中的蛛丝马迹中找到防御的方法，不知道看了以后是什么反应，有了EMAIL他再会联系的，继续黑站挂马去了，赚钱啊。

    退出角色，从信中，大家应该能看到偶的入侵路线，利用的都是近年流行的漏洞和入侵手法，考虑到再写出来没什么吸引力，所以换个角度去写。文章中提到的目录还有权限设置都是IT168这次大赛中的真实设置，关于拿到了通关文件后，一直无法破译里面的加密密码，所以没有拿到最后的文件。文章完成后，朋友建议说让偶最好从代码的角度入手，代码补漏。感谢朋友的建议，偶本身就是做程序员的，写起来也得心应手，可是考虑到这个asp程序的漏洞实在太多，又考虑到企业的成本以及管理员的技术水平，有修改代码的功夫，还不如剑走偏锋，随手修改掉管理目录。针对这个模拟环境，改代码漏洞略显不明智，正所谓“没有绝对正确的解决方案，只有相对适合的”。相对于写代码漏洞，我想企业更倾向于把目录隐藏起来，让黑客即使知道了密码也无法入手，只能停止攻击。

    文章中反映出的一些东西，比如黑站挂马的事情，也都全都符合现状，最后的结局有些“黑暗”，但并不是每个故事都是有美好的结局的，这样的结局应该更能发人深思。