WooYun.org

厂商修复漏洞还算及时，早上提晚上就能弄好。可惜就是思路不对，每次都治标不治本。这次的GETSHELL还是那个接口，经过上两次的提醒（http://wooyun.org/bugs/wooyun-2015-0152905 http://wooyun.org/bugs/wooyun-2015-0154242），安全系数已经高了不少，然而，并没有什么卵用，多次尝试后还是进来了。
首先我们来到这个头像上传处。

然后改包，尝试各种路数，显然之前的办法全部都失效了，然而正当老夫锤头丧气之时，抱着试试看的想法，发包时把一个PNG后缀改成了JsP(s小写，JP大写)。居然成功上去了。

欣喜若狂，打开浏览器，傻眼了。。。。。

丧心病狂的网管似乎把整个目录设置成了图片方式解析，瞬间不开心。然而更丧心病狂的我怎么可能半途而废呢，各位看官都追剧这么久了，第三季必须得出啊。试着传了个html和txt，结果以plain/txt形式给我了，感觉有戏。

然后准备搬出祖传猥琐指南，去收藏夹里翻了翻，发现跟php系列一样，除了php，php3，php3，phtml都有可能按照php解析，对应jsp，有jspx，jspf等。
根据jspx语法规范改写了一个jsp小马，丢上服务器。
这个时候发现服务端对图片校验比较严格，似乎校验的范围比上次还广（一开始以为过滤java.io关键词，后证实尚未过滤），这个时候掏出cmd 2进制 copy大法。搞了好多轮才有个能用的。

然后用小马写大马，上菜刀。