WooYun.org

对学校的某些硬性要求感到不满，所以稍微检测一下这个系统“21世纪大学英语网络学习平台”，是复旦出版社的东东。
http://211.71.233.63/21stlearn/
首先，这系统一般都有初始密码，弱口令也可以破！
我随便用一个学号和初始密码就等进去了
进入教学资源-个人资源页面，上传文件。不知道是不是对自己的防护机制满意，反正是可以上传任意文件。当然，就算限制也没问题，反正后面可以重命名的。

上传文件的前提就是安装客户端了，这个就是下载安装就是了

一句话上传成功，接下来我们查看文件

这里的地址没什么用处，21stlearn_upload是个虚拟目录，真实地址稍后揭晓。
我们进入文件管理，重命名。
我们就是利用重命名修改文件路径，让我们的shell能够在可执行目录下执行。
这里不能直接输入../，有过滤。
但是我们可以理由难过神器Burp抓包修改

随便输入一个名字，就a.jsp吧，接下来看我们截到的数据，看看它是怎么样重命名的。

一堆红色的字符串是关键，我们解码字符串看看，这个要解码两次喔

看到了什么，没错！
真实的上传文件目录：upload，而不是21stlearn_upload
结合前面的信息具体路径：D:/LearningSoft/21stlearn/Webappshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1/2015-05-26/65/o.jsp
在结合前面的信息，可以猜测出访问的程序的根目录不在Webapps/下就是在Webapps/learning下
新的文件名：new_name=a.jsp
成功修改之后，继续抓包查看，然后又发现有意思的东西了。
也就是打开或者刷新“文件管理”页面的时候，它是怎么加载显示上传的文件的。

这个文件“file_list2.jsp”可以列目录文件，红果果的遍历漏洞。
http://xxxx/21stlearn_sync/file_list2.jsp
几个可控制的get：dir>要列出文件目录、sub_file>列表控制条件，sub_file=0的时候只显示当前目录文件，空值的时候显示包括子目录文件、var_name没什么用处，控制文件字符串显示的格式。
我们打开新页面访问
http://xxxx/21stlearn_sync/file_list2.jsp?dir=D:/LearningSoft/21stlearn/Webappshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1/2015-05-26/65&sub_file=0

看到我前面上传并且重命名的文件了
我们把dir的值改成网站根目录，不加sub_file=0，结果如图

密密麻麻的文件看的眼花，搜索一下首页索引，找到“index.jsp”

果不其然，就是在learning目录下！
修改dir看看learning目录，这次加上sub_file=0

简洁多了~~虽然由于截图的问题并没有看到第二行最右边的index.jsp
接下来考虑转移的问题！
上传的文件D:/LearningSoft/21stlearn/Webappshttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1/2015-05-26/65/a.jsp
我们要让它移动到D:/LearningSoft/21stlearn/Webapps/learning/a.jsp
就要利用../来实现。
即：../../../../learning/a.jsp
前面说过不能直接修改，我们就试着截包修改，幸运的成功了。看！
再来一次重命名为x.jsp，来到new_name=x.jsp，当然是在编码的情况

就是这里啦，x%252ejsp就是两次编码的x.asp。既然是两次url编码
那么../也要两次编码咯
即：%252E%252E%252F%252E%252E%252F%252E%252E%252F%252E%252E%252Flearning%252Fx%252Ejsp

一路执行下去，如果不出意外，我们的shell就会转移到了程序根目录下面。
我们可以遍历目录来看一下是不是成功了

看到了木有，x.jsp出现了

我估计这个是通杀的，但是由于这个系统一般是在内网的，也就不好举出实例了，这个就麻烦审核的同志去看看吧。
PS。让一朋友试了一下，果真成功、、但是他拒绝透漏学校、、郁闷呢
=======================
shell已删除！