[原创]入侵嘉缘人才管理系统
转载其注明原出处作者，本文首发百度！这是基本道德！

一次，在某人的博客上看到他公布的检测站的地址，好多是政府网站。还打广告说要出售网马，有偿收徒。唉，看样子他离进去吃皇粮也不远了！
看下大多数都是张家界的站，猜想此人有可能是张家界当地人士。呵呵，随便找个站，恩，张家界劳动就业信息港。这个应该是政府的站，看了下界面，是个人才招聘网站，可以发布应聘信息和招聘广告。

见图1

这套程序不太熟悉（谁叫我好久没检测站了呢，呵呵），我按照他的网站特征，百度了一下，原来是叫嘉缘人才管理系统整站程序。

老规矩，拿出asp注入检测工具---明小子。提示有可注入页面，貌似很有戏，

见图2

一路猜解下来。晕了，有几百条记录，这不是玩我么？？
明小子干脆当掉了，无奈，只能徒手了。工具毕竟是工具，如果完全依赖下去，有可能走入死胡同。我们来直接分析原程序。
上百度找到个嘉缘人才管理系统整站程序的下载地址，将这个整站系统下载回来，首先看到了他的默认数据库，抱着侥幸的心理随手输到地址栏里，一敲回车。靠！居然可以下载，这个站的管理员太懒了。
见图3

接下来就好办了，下载数据库下来，找到管理员密码，MD5加密的，去找个MD5在线猜解的站，猜出密码。


见图4

找到后台地址，直接登录。后台跟动易的后台很像。再看管理员列表，晕，某人的大名赫然在列，真牛！再看网站属性…………

见图5图6

说到这里我再跟大家说下另外一个通用的漏洞。一部分整站程序都习惯把网站属性直接保存到一个名叫config.asp的ASP文件里，而不

是直接输入到数据库里。这样做的直接后果就是我们可以在网站属性里直接插入一句话马，轻松拿到WEBSHELL权限。方法是在网站属性设置

某一栏里输入“"%><%execute request ("value")%>'”，（“”不用输入）。其中，“"%>”跟前面的语法形成闭合，以免出错，最后那个

“'”主要作用是注释掉后面的其他语句（会点编程的人都应该知道，“'”就是注释的意思，后面的语句不会随程序执行的）。我试验过动

力文章系统和尘缘雅境，都有这个漏洞。其他的没试，大家有机会可以试试其他的整站程序。

言归正传，这个后台的网站属性并不保存到config.asp里，所以就不会有上述的漏洞了。况且，不知道是哪个笨蛋在网站属性里疯狂写一句

话马，把网站属性搞得乱七八糟。鄙视下！

见图7

这里其实有个上传类型设置的。我后台在虚拟机里模拟建站测试，在这里只要添加了asp后缀类型后，就可以在新闻页面里直接上传asp文件的。不过这里的上传页面被人删掉了，没戏的！估计是那个某人干的。唉！

见图8

再分析原程序，我突然看到另一个页面UploadWindows.asp，也是上传的。且没有权限检查的。我心里一动！试着传了个ASP文件，提示类型错误。

见图9

哈哈，很明显，这么快的提示类型错误的话只有一个可能，就是文件后缀的检查应该是在本地。这真是天上掉下个大馅饼，我们可以直接把该页面下载回来，在“<form action=”后面输入这个页面的WEB路径。然后在“if(extname!=".jpg" && extname!=".gif")”这里修改为asp类型。就可以直接上传asp马了。

但是我更习惯于抓包修改后再NC提交，提交完毕后反馈信息里有马的名称，呵呵，已经是asp文件了。

见图10

仔细查找路径，咦？怎么没有路径信息呢。到底传哪里去了？试了几个常见的图片地址都不是。不要慌，咱们有办法的。
在虚拟机里本地测试，才搞明白了，原来传到网站根目录下了。

见图11

晕倒！接下来就不多说了，老规矩，传大马，拿WEBSHELL权限，后来发现这个机器的权限设置很乱，上面的几个站的目录可以随便跳来跳去…………
文章发表的时候我会修补这个漏洞的，大家就不要再去试了。还是那句话，做人很重要，不要乱挂马乱改东西，尤其是政府站。小心被政府"和谐"掉.
另，觉得还可以就顶吧，要是给个评价也是很好的