首先這次的檢測純屬是個偶然，為什么是偶然？大家請慢慢聽我說吧.這里感謝AK！我本來想利用搜索引擎玩下后臺過濾不嚴的網(wǎng)站！

大家都知道搜索inurl:admin/main.php（腳本格式隨便反正jsp就搜索到mop了）很多網(wǎng)站直接進去后臺！

這里我們可以很清楚地看到MOP的網(wǎng)站，我抱著不大的希望點了下（畢竟是MOP汽車網(wǎng)！文件處理得很好的吧）誰知道點了下直接進去了MOP、

進去了，當然我第一時間就會看下有沒上傳之類的漏洞！點了下圖片管理！

流程:圖片管理-查看相冊-上傳文件

這個圖片是任意文件都可以上傳？但是卻是上傳到mop的管理圖片的服務(wù)器！咱們看一下圖片

這個服務(wù)器目錄做了安全設(shè)置，jpg、html、txt當然支持的啦！其他為木馬文件都不能正常訪問！這里轉(zhuǎn)了大約1個多小時去搞，繼續(xù)轉(zhuǎn)下！這個后臺有沒其他的特別之處...果然發(fā)現(xiàn)到一個可愛的地方了

這里，可以修改！我隨便在代碼加上

<SCRIPT>alert("xss")</SCRIPT> 

點了下，當前的欄目代碼執(zhí)行了.之后修改111.

中間出現(xiàn)我寫的東西，我當時隨想？在這里寫個JSP木馬進去看下能不能顯示出來！這html當然是調(diào)用某個JSP文件啦

保存起來，回到剛才那里刷新下！

出錯了，這是怎么回事？這里困擾了大約1個小時左右吧！絕對是調(diào)用某個文件的！代碼絕對成功寫入.之后猜解下

http://auto.mop.com/index.jsp 訪問正常，http://auto.mop.com/data/index.jsp 空白證明此文件是存在的！猜想代碼執(zhí)行在data目錄下的，估計調(diào)用肯定是index.jsp文件了！但是訪問是正常.之后想了下，會不會安全方面做了下！保存好JSP木馬出現(xiàn)這個！

返回剛才那里哦？證明是出錯的了！之后放個jsp一句話進去啦，畢竟感覺調(diào)用index.jsp文件！網(wǎng)上就一個一句話木馬還是覺得不好用的那個呢！