WooYun.org

首先，用路径库比较全的目录扫描工具扫描吉安市卫生局网站http://www.jawsj.gov.cn/就能发现大量敏感目录和敏感文件，其中比较关键的是后台管理地址为http://www.jawsj.gov.cn/admin/admin_login.asp，以及CMS的数据库文件地址http://www.jawsj.gov.cn/database/SiteWeaver6.5.mdb，相信许多大侠手中的路径库都包含这两条路径。打开后台可以发现是动易的后台，同时从MDB的文件名也可看出是动易后台。
打开mdb文件可以看到用户名和密码的表，

用户名为admin的账号，其密码md5加密了，找个网站破解下，是弱密码wsj2012，
通过之前扫描到的后台路径，登录进去

在后台的系统设置中虽然可以修改允许上传文件的类型，但是实际测试发现即使修改了允许传asp文件，在实际上传时也无法传成功。

而且多个新闻板块的上传功能无效，提示权限不足。好在发现“法规文件管理”这个板块有上传权限，还可以浏览上传文件的目录列表。

但是多次尝试绕过验证上传asp马都未成功。

于是转换思路，想起动易cms曾经爆过一个漏洞，可以通过“添加自定义网页”这个功能来挂一句话木马。
但是仔细看了系统设置里面（可以从前面的第二张图看），没有发现“添加自定义网页”这个菜单。估计是网站开发人员故意屏蔽掉了，从开发人员使用大量默认路径来看，可能
“添加自定义网页”这个功能的asp页面还是在网站cms目录里面，只是开发人员简单的在后台页面把那个菜单删除了。若使用过动易CMS的朋友，应该知道那个页面的原始文件名为Admin_page.asp，尝试打开，果真存在，但无法直接打开。

不怕，这种限制因为一些子菜单页面只能通过整体框架中的菜单链接来调用，不能浏览器直接访问。我们可以利用谷歌浏览器开发模式，修改其他菜单的超级连接为Admin_page.asp，

修改了超级连接后点击进入成功，

然后添加自定义页面，

这里有一个细节要注意的是，大部分的文件夹都是没有写权限的，前面尝试上传文件的时候就碰到过大部分新闻模块无权限上传，不过“法规文件管理”这个模块可以上传，所以在添加自定义页面时，路径要填写法规文件上传的路径，即/wenjian/UploadFiles_2729这个目录，

添加成功后，再点击生成本页即可。

至此一句话植入成功，后利用菜刀连接成功后，测试放大马成功。
此外，该网站所在服务器还托管了20几家吉安市其他政府的门户网站，其中不少网站也或多或少有些web应用漏洞，比如吉安党建网，使用了FCKeditor编辑器，可能存在上传漏洞，而且已经被前人植入了大马http://www.jadj.com.cn/wh.asp。再比如吉安市永新县政府门户网站，使用了风讯5.0的cms做后台，该版本早已被爆存在SQL注入漏洞，在wooyun搜索也能找到这个漏洞的信息，笔者做过测试，确实能爆库。
因webshell已经拿到，旁站风险就不多赘述了。