WooYun.org

测试自己写的discuz扫描工具健壮性的时候发现了一个备份文件http://bbs.appcan.cn//config/config_ucenter.php.bak
使用uc_key getshell失败,经测试已更改uckey.
继续检测,发现了一个疑似注入点http://edu.appcan.cn/train_detail_new.html?id=498

但是是时间盲注,跑数据太慢了,而且权限不高,接着寻找其他测试点
http://edu.appcan.cn/train_outline1.html?train_place=%3Cscript%3Ealert%281%29%3C/script%3E
在这个位置发现一个反射型xss

可惜是反射基本上毫无意义.
然后尝试在google中搜索site:appcan.cn inurl:login
在返回结果中发现一个json数据，里面发现一个名字"张文帅"
在burp的请求历史中发现一个自动跳转的地址:
http://siteadm.appcan.cn/Daemon/appshow/listinterfaceById?status=1&typeid=82&rows=8&callback=jQuery19103505221238365238_1461031756517&_=1461031756518
直接访问http://siteadm.appcan/Daemon 跳转到后台登录地址
尝试各种弱密码皆失败.. 突然想起之前发现的”张文帅”, 打算尝试一下,使用zhangwenshuai,zhangws,zhangwens,zws等用户名, 最后使用用户名zws弱口令123456爆破成功!!

在后台看看有没有能提权的位置,找到一个图片上传点
尝试一下直接上传一句话,发现不能解析,上传图片一句话,还是解析失败,下载回来发现一句话被清除,应该是被二次渲染.找到未更改的地方再次添加一句话, 可惜还是失败..
接着找, 还发现有app上传地址,抓包,修改文件名,最终上传shell成功!!