管家婆软件管理系统拿shell

春日多娇,春意盎然,鄙人一位好友晚上因此寂寞难耐,于是乎先前扔我一站让我跟他一起日。打开一看,管家婆,任我行软件。貌似在哪里听过。    (PS:似如此风骚的名字其实都耳熟)。问问朋友,结果是他在某群里看到的,一个中型企业管理系统。恩。就当练练手吧。先百度了下C段,               找了个域名日进去,正猜着目录(全静态很蛋疼),好友相当速度地发来一个图。

说多了都是泪啊。。这老小子太快了。

进去以后为了分头行事方便,当然先加个多余的管理再说。。鬼知道他有没有对单账户多session做限制。在里面找到一个管理添加,点开:

好嘛。虽然进入后台没限制,具体操作还是要求cookie的。我们不怕,这种果断禁用JS开搞。本来用IE试试,管理员域名默认不允许填写的。             

NND, 这还了得。操戈启航,用google试试。禁用JS。

审查元素修改READONLY的项目。

顺利加上管理,调成超管。

里面晃了半天,发现图片上传过滤的还好,而且不能获取到上传地址。且看看编辑器,机油说是cuteEditor的。。以前搞过,0day貌似不多。正纠结。。

偶然发现里面有个右侧管理栏目,点进去一看,有个不同的上传点,不仔细看还真没看到。⊙﹏⊙b汗

 

果断试试。。死鱼眼一翻。发现了新增了一个管理项。右键属性,你们懂得。

进菜刀看了下,内网思密达,顿时兴趣索然了。。和好友商量了下。国内企业站服务器就不多搞了,进去喝茶就不好了。

就这样吧。。