WooYun.org

首先是后台无限制访问，手贱加个admin后台就蹦出来了，管理大哥你要不要这么叼
好吧，后台出来了也就算了，还来了发弱口令，账号：admin，密码：你懂的，至于验证码，我还是吐槽下吧，这样的验证码基本上可以无视。同样，只能用一个叼字来形容。

好吧，进了后台了，你说还有啥不能干的呢

后台地址改改吧，不要用规律性字符串组成更不要带admin这么明显的字眼，另外，限制下后台页面的访问权限吧，ip啥的。
后台用户名和口令不要一样更不要这么弱，这么叼。
好了，我肯定不是第一个进后台的，自然，已经有其他人留下痕迹了。

这是哪位大黑阔留下的，自己出来认吧，密码heilian

截至提交漏洞，木马已被我删除
经过研究，问题还是出在上传组件上，图片上传模块那里，在编辑图片时可以选择服务器文件或者上传，上传时表面看上去是做了过滤，但事实上asp文件同样被传了上去，虽然啊被系统重命名，没关系，浏览文件目录即可获取马儿地址。
漏洞存在于文件:security.asp和optiframeupload.asp中，过滤处没处理好，逻辑顺序有误，导致被识别的asp文件仍然传上来服务器
本来想帮你修复的，但是肚子饿了，不想读代码，管理大哥靠你自己吧 :)
最后吐槽下这个，我也只能说，确实叼