WooYun.org

目前发现两处注入漏洞如下：
1. http://60.18.131.131//lntu/aao_52/index.jsp?curformat=d&curid=10498&depfid=5986&depfname=教学研究与质量科&fid=10498（fid参数过滤不严）
2. http://60.18.131.131:11180/newacademic/bing/answer/answer.jsp 教务答疑查询功能(POST型)
通过sqlmap神器，测试注入点，探测些关键信息。

接下来，查询数据库中有什么表。
教务处系统比较大，有300多张表，发现有张叫做DS_USER的表。

自定义SQL语句，查询出大约有8W行数据，就是他了。

因为我们学号是纯数字组成，我推测管理员或者其他高权限用户应该是字母。接着自定义SQL语句，查询不含0-9字符的用户，查询出60行。

接着就是体力活了……尝试哪个用户权限大……此处省略1000字。。。
最后，找到一个叫“ZHANGkb”的用户，登陆后，管理员了。

找到用户管理功能，查询有维护教务公告权限的用户，因为它有上传权限。

OK，接下来以他们的身份登陆。

点击添加，看到了编辑器，上传点。

发现可以上传任何类型的文件，那我要试试。

很显然他是进行了服务器验证，接下来把后缀名改成doc试试。

应该是上传成功了。
接下来启动burpsuite神器研究下是怎么回事。
直接改包，将doc改成jsp然后发包，返回一个地址。

但是访问改地址提示404，看了不行。
接下来试试00截断上传。
将Content-Length长度+1，文件名后面加个空格，用16进制编辑器将20改成00

重新提交，返回出了地址

复制到浏览器

恩，就这样了，没干坏事，谢绝查水表（全程开着vpn+tor我相信你也找不到我）