4.分析后台并寻找提升权限

　　不过进入后台后却发现后台过于简陋，连个上传的地方没有，后台插马也不可能。在仔细分析失败后，最终放弃这个后台。经过一个多小时的注入分析，发现现在各院的管理员密码基本都不是md5方式加密，那得到管理员账号和密码进后台的这条思路断了。不过我想我们还可以利用阿D的后台猜解功能猜解后台，然后尝试用功能较多密码登录。并且在找后台的时候注意一些其他的敏感链接，比如upfile.asp之类的上传链接，可能就是突破点。

　　通过尝试，终于以功能较多密码进入几个后台，不过后台都很简陋，根本拿不了webshell，这让我很郁闷。同时我也注意阿D猜解出来的敏感路径，却始终没有发现上传之类的链接。于是我开始静下心来一个链接一个链接的找后台，试功能较多密码，可毕竟用功能较多密码能进的是少数，能进的后台又都超级简陋，让我很是郁闷。突然阿D列出这样一个链接http://office.*****.edu.cn/adduser.asp,我试着访问了一下。竟然看到了如图3所示的界面，也就是说这个界面没加session进行验证。

　　图3获取未加session验证的管理页面

　　本以为老天赐我一个成功的机会，赶紧加个用户，点“确定”后，却还是跳掉了登陆界面，让我的热情凉了一半。

　　弄了一个多小时，连个webshell都没拿，就这么放弃吗？要是放弃了就永远不会成功。那我告诉自己静下心来想想：用表面上功能较多密码能进的后台肯定很简陋的，因为程序开发者根本没在上面费心思。可是那些功能多点的又进不去。那现在我们换Google，因为阿D能找到的后台地址是有限的，那现在我来批量搜搜这个大学的后台，看能不能找到一些隐蔽的后台可以让我们利用。

　　5.通过Google搜索后台

　　以关键词inurl:login site: *****.edu.cn 为关键词进行搜搜，结果搜索出很多后台，如图4所示。还是体力话，一个一个试。

　　图4通过Google搜索后台

　　当打开第二个链接的时候，发现这是一个前台没有链接的后台地址，我想如果不是借助搜索引擎，别人不可能找到。那打开该地址看看，是一个什么办公平台，好像很正规的样子，要是能进去可能有希望，如图5所示。

　　图5打开某学校的综合信息管理系统