WooYun.org

目标：http://www.zte-s.com.cn/
到处溜溜发现是PageAdmin CMS的，顺手敲出后台：
http://www.zte-s.com.cn/e/master/
发现跳转到http://localhost:86/e/master/login.aspx，貌似需要本地访问
转去会员登陆页面看看：http://www.zte-s.com.cn/e/member/
发现admin/admin弱密码成功登陆，试了下上传，编辑器是fckeditor，但已修复历史问题，无法利用

猜测后台应该也是弱密码admin/admin，于是又顾后台，发现只是在/e/member/login.aspx页面中插入了跳转代码，于是直接post登录cookie到/e/member/index.aspx页面，登录进去了，但显示页面编译错误

推测cookie中还有其他验证，于是抓包看了下，发现有个referer参数，估计是要求本地访问，使用以下cookie进行referer欺骗，终于绕过
YZM=0534; Language=cn; tongji=1; referer=http%3A//localhost%3A86/e/master/login.aspx; Master=UID=2&Valicate=11911911761d8160ef4116313c19d14d18b7710e173; SiteId=1

之后使用wefgod GG的方法成功Getshell~~（ WooYun: PageAdmin某处用户控件可留ascx后门 ）
Webshell发现是NT的权限，后续提权就免了……