WooYun.org

有段日子没这么戳站了，今天戳一个温习一遍，感觉还是非常爽的。
(未授权访问部分)
网站后台路径：/admin/，加些个常用页面试试水：login.aspx、main.asp、left.aspx...加到menu.aspx时，跳出个可爱操作菜单，可看到网站后台各种操作

点击系统管理-用户配置，出现404，跳转至/FileNotFound.htm?aspxerrorpath=/Sys_Config/UserConfig.aspx，仔细一瞧发现访问的URL是/Sys_Config/UserConfig.aspx，我们不是在admin下么，很可能程序员犯二了，改成/admin/Sys_Config/UserConfig.aspx，ok了...平时用户尼玛怎么操作的？汗一个..:D
页面转到了登录页面，但是呢不是立即跳转，虽然我很近视，也还看得出这是个载入后跳转，没说的，肯定是JS跳了，禁用JS，再访问，成功显示内容:

有个密码还原功能，咱可不能轻易点人家的，出事担不起，查看下HTML源码，发现还原后的密码是8888，没说的，这是个默认密码，禁用了JS毕竟不好操作，能正常登录后台就方便多了。随便找几个帐号试试，果然有很多密码是8888的，登录进去，操作方便多了，通过用户管理还可以添加一个管理员用户，这不多表。
(GetShell部分)
发布信息，有个文本编辑框，长得可像eweb，上传张图片瞧瞧，没现没有重命名，心里就有了三分高兴（为什么是三分不是七分，因为这是IIS7），再传个aspx，弹框不允许，这是本地的，不管这么多，来burp改包试下，结果嗖地一声传上去了,服务端没作验证...汗