WooYun.org

SQLURL:
http://**.**.**.**/web_tw/news_detail.php？n=news&appId=&id=2013
<img src=“/upload/201511/23191221c2676d0f7df627171a426f99c028d4d4.png”alt=“QQ圖片20151123191203.png”/>
獲取超管帳號密碼：
reality 073900858
可惜，管理員把admin/ct/下的所有腳本檔案給禁了，突破了半天也無解.其中一個參數可控。
<img src=“/upload/201511/2319150435b2644839b05d458aa8c6d8af9313c6.png”alt=“QQ圖片20151123191443.png”/>
用00截斷用../都突破不到上層目錄，http://**.**.**.**/admin/ct/.txt
---------------------
後面找到另外一個二級目錄的後臺，用的同一模版，同一資料庫。但是這個admin/ct/目錄沒做腳本過濾。
獲取webshell.
http://**.**.**.**/kat/admin/ct/action/shell.php
g0d
<img src=“/upload/201511/2319174461ab31cf2d558b968a174106369e462b.png”alt=“QQ圖片20151123191733.png”/>
資料庫許可權很大可直接udf提權<img src=“/upload/201511/2319223288521fccd7152d548a23e757d8a11b10.jpg”alt=“QQ圖片20151123192158.jpg”/>