WooYun.org

上传URL地址：
http://finder.unking.cn/BackupSmsSucc
参数：
zip：文件，文件名可以是任意的，包括asp
id：用户ID，也可以任意指定，这里也没有对用户id进行验证，六位数字
isLocalOrRemote：本地还是远程，0或1
接下来使用另外一个接口，可以获取某个用户ID下的全部备份文件路径：
接口URL：http://finder.unking.cn/GetRestoreUrl
参数：
userid ：用户ID，这里也没有验证
type：写0
得到返回：
{"surl":"http://www.unking.cn/zhaobang/backlog/00/00/560/32/2/sms/1430154035800-local-7.asp","curl":"http://www.unking.cn/zhaobang/backlog/00/00/560/32/2/20150428124734125-local-1.zip","returncode":"10000"}
可以看到，返回了一个asp后缀的文件URL，这个如果做成一个asp的webshell，即可浏览服务器上的文件，拿到webshell，之后通过读取数据库配置文件拿到整个用户数据库。
使用简单的java程序即可上传一个asp木马到服务器