近日闲来无事，在公司挖掘zjcert的漏洞，在fofa上苦苦尝试后台弱口令登录，试着试着，突然发现一个站点和之前测过的某个房屋支撑平台系统是由同一个公司提供的技术支持。用上次的弱口令试了一下，果然不行。又想起上次的系统不止开放在一个端口上，于是拿nmap稍微扫描了一下端口，在其他端口发现了很多站点。于是又是一段漫长的弱口令尝试阶段。由于都是同一家公司提供的技术支持，所以都是利用之前测的弱口令来尝试，终于摸到了一个后台。

这个后台说来话长，进入后台后找到了文件上传的点，苦苦fuzz了一个上午，在和好同事（不要啊！）杰哥的鏖战一个上午后，终于成功getshell。中午稍稍休息一下，下午正准备大干一场提升权限，我兴致勃勃连上我的马子，结果换来的却是疏远。再拿弱口令登录了一下后台，换来的也是登录失败。弱口令被紧急修复了，我的马也被杀了，所以这一部分就不能给兄弟们展示图片了。很喜欢让子弹飞里的一句话：敢杀我的马！换条路子继续日站！

前面说到这个ip的很多端口都是开放了http服务的，于是又是一段漫长的后台弱口令测试，还是找到了一处默认口令成功登录了后台

接下来就是对该后台的各个功能进行测试，最终在功能点系统设置->统计报表设计->国有企业资产资源排查处置汇总表处找到了上传功能点

抓个包看看

测试发现，通过修改name参数的shell.xlsx为shell.aspx后，前端返回的模版名称也会变为aspx后缀，但是并未被重命名为shell，依然为国有资产汇总导出模版

感觉是上传成功了，接下来找到路径就能连上我们的马子了，按照经验来说，一般通过下载功能都是通过get请求访问文件路径进行下载，就可以获得文件的路径，理论合理，实践开始。

但是抓包后发现，是通过rdid参数来控制下载文件的内容，细心的小伙伴也发现了刚刚上传文件时也存在这个rdid的参数，但是这里确实没有找到路径，只能换个方法。

就在我心灰意冷的时候，在系统配置的系统参数配置中找到了导出模版路径

兴冲冲的去访问/uploadfile/template/stat/国有资产汇总导出模版.aspx,结果却没有解析

这个目录应该就是没有解析aspx的文件，但是系统配置里可以修改系统导出模版路径，直接改为/根目录下，根目录下不可能不解析。修改为根目录后重新上传，果然解析了，上冰蝎

虽然没有取得管理员的权限，但是也就点到为止了，离开之前也把系统配置文件复原了