纪实：对[菏泽学院]的一次[友情检测]

小迪..

测试时间：2015年5月17日


域名：www.hezeu.edu.cn/
基本信息：菏泽学院

来张照片：


开始：
     本次入侵话说是偶然的，那次打针的时候听到妈妈的同事说他儿子考试没考好，考了个菏泽学院，我也是闲的，所以拿来入侵检测，结果一场“血案”就发生了...
     首先我打开域名网址就可以判断这是个讯时网站系统，为什么呢？因为我之前就入侵过一过一个类似的网站，是由于漏洞所以才会被入侵，我想菏泽学院怎么说也是个大学啊，这么鸡肋的漏洞还存在吗？
     我测试了一下，如图：


是不行的，那么就这样放弃吗？
我随后在网站点击了一个连接，奇迹出现了，如图：





域名发生了变化，测试一下这个界面吧，竟然成功了！
直接爆破账号密码：



随后思路就清晰了，找后台：
http://zsjy.hezeu.edu.cn/login.asp?id=1
登进去：





再次利用编辑器漏洞，上传asp大马

如图：很霸气吧。



提权服务器没成功，不知为何，那就吃饭去吧，还没吃早饭呢，停！留个后门，嘿嘿。



我想以后会用到的吧。

到此结束！

感谢大家的观看！

神风

把漏洞哪里发全一点 是极好 的

Ba1dLei

后台已经进不去了，被人删了账户了

Gescript

没有对关键的最前面的利用的是什么漏洞不清楚，和爆破密码的方法不清楚，求楼主讲一下。。。。（本人是新手

Gescript

没有对关键的最前面的利用的是什么漏洞不清楚，和爆破密码的方法不清楚，求楼主讲一下。。。。（本人是新手

Te5tB99

一点都不详细

蓝颜

你搞我们大菏泽，经过大菏泽的老大蓝翔同意了吗？信不信一个电话过去，蓝翔就派挖掘机挖你家网线去   

水煮便淡

0.0不清晰 不知道具体利用什么漏洞

Sty，涛

感谢楼主的分享~

perble

加油！干倒冰儿和酒仙！