WooYun.org

0x00 注入
一个学校的网站,在这里存在非常明显的搜索型注入http://**.**.**.**/search.aspx?cond=
通过构造sql，

http://**.**.**.**/search.aspx?cond=A%'and（sql） and '%'='

盲注可得到后台管理员admin密码。登录后台。

0x01 上传
通过后台发现编辑器用的fckeditor,版本2.6.4。网上一堆漏洞，如：

http://**.**.**.**/fckeditor/editor/filemanager/connectors/test.html

http://**.**.**.**/fckeditor/editor/filemanager/connectors/uploadtest.html

两处上传
试了下，没法传。
于是另想办法。抓包后得到

http://**.**.**.**/fckeditor/editor/dialog/fck_files.aspx

这里可以传了，有前端验证后缀名，还有狗。

通过抓包改包过了验证，至于安全狗，也可以改包绕过。

小马上传成功，大马却屡屡失败，市面上的大马试了好几个，都给狗拦了！！！手上也没有特别猥琐的aspx马（90%的的aspx站都支持asp，而这站就是剩下的10%，asp读不了啊 大哭）。
0x02 webshell
大马传不了，只好用菜刀了。于是下了个过安全狗的菜刀（卧槽 求菜刀思路啊！）
重新传一句话，菜刀连接
ok

里面有30+企业，10+学校,几所政府部门。
有些目录文件没删除，编辑权限，但传个马还是没问题。就不深入提权了。
找到这家软件公司官网，发现还有

贵州省法院网同样的搜索功能，但不在那个服务器上

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　A8 in XDU
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2015.9.15
-----------------------------------------------------------
后面截图测试的时个候才发现用了安全狗，现在没办法直接盲注。但有绕狗注入的方法。
直接给密码
地址：http://**.**.**.**/admin/
帐号：admin
密码：qc123456