WooYun.org

首先，是扫到主站后台http://www.kingsunedu.com/Manager/default.aspx可以直接访问，其他页面有验证。

而方直不管用户登录还是管理员登陆基本都是统一到http://uums.kingsun.cn
不过只用了一句js来跳转，客户端可控，却貌似忘记了退出脚本执行。就像验证没有权限后asp忘记了response.end，php忘记了exit()。
用的是<script src="xxx"></script>这种。

比较令人在意的是那个setcookie，难道后台只用cookie验证吗?那么如果找到一个xss再结合社工等等说不定也可以进后台。
最直接的访问管理页面的方法是禁用js,但很多功能都是用js写的,所以我用火狐的一个插件叫tamper data来防止跳转到统一认证那里。

开启start tamper然后访问其他页面时把跳转到http://uums.kingsun.cn的请求全abort掉就畅通无阻了。
其他有同样问题的站还有:

http://reslib.kingsun.cn/index.aspx
http://metadata.kingsun.cn/index.aspx
http://t.kingsun.cn/admin/index.aspx
http://wcb.kingsun.cn/Index.aspx
http://fun.kingsunsoft.com/admin/default.aspx

附赠一处注入：

http://t.kingsun.cn/admin/UserService/PermissionSchemeInfo.aspx?SchemeID=%27%20union%20select%20%27a%27,%28select%20@@version%29,1,%27c%27,%27d%27,%27e%27,2%20--&IsPay=2

通过搜集信息找到一个站http://j.kingsun.cn/

查看礼品的图片地址又搞到一个后台

文件推送那里可以拿shell,上传后查看html源码得到地址

根据以前发过的注入金太阳的站都是sa权限连接数据库，所以提权应该不难。
还有上次我用uums的那个注入，曾看到e盘有个sa.txt和sa密码一样，建议不要这样储存，我以前就有一次利用这种txt提过一个站(而且那个站sa的密码差不多有20位长，真是笑死我)

接下来一个问题引起了我的注意，这个站的后台应该是优学酷的后台，但标题却是同步课堂管理系统，于是...

这个危害也挺大的。

如果我是个做黑产的，我可能有旧版+病毒木马等伪装成版本更新并设置自动更新，后果不堪设想。