WooYun.org

6zjy.gz6hs.cn广州六中教研网（委任广州领伍科技制作）
登陆验证极其简单
仅需要修改cookies便可以随意登录不同账户
并且可以随意更改权限上传aspx文件，通过cmdshell提权，开远程桌面
========================================================================
下面演示一下整个流程
========================================================================
服务器配置为server2003+安全狗
首先用自己的学生账号登陆网站，用edit this cookie查看发现如下
username=XXXXXXXXXXXXX&usertype=1&uid=8602&userid=606019
username为账户持有人中文名UTF8 urlencode
***usertype经过试验 1为教师 0为管理员 2为学生和家长
uid为学生学号或者随机数
***userid为站内ID 修改此值便可以随意登录其他账户（学生登陆后可以查看全网用户名单，含UID）
然后我换了个老师账号登陆，权限改0最高，然后随便找一篇文章编辑，发现编辑器可以插入附件

打开上传框

这里做了几次试验
先是尝试传aspx发现被狗咬
然后传2.aspx;2.jps也被狗咬
最后发现可行的是把小马写入文本，改后缀为1.jpg上传上去之后再改名为1.aspx;2.jpg
这样子获取到地址之后访问

依然被狗咬，于是用了铁鹰WAF，模拟搜索引擎蜘蛛，狗就走开了

然后立刻放大马

搞定
发现上面host不少网站，其中还有制作网站的公司主页，真是

然后用大马自带的cmdshell开3389端口提权搞定
然后发现开了3389之后还是不能远程
然后上传lcx.exe
神器一出，搞定
这家公司真的是完蛋了，据说我们学校的网站搞了10万元，一晚上就黑进去了，真坑