经过一番仔细地观察，我发现扫admin子目录的时候，有个report目录，直接访问是403的：

再看上上张图里面的html源代码，正好有个#report超链接。因此，可以大胆的猜测，会有/board、/sys这些与menu.asp这个菜单文件中的菜单同名的目录。

测试发现确实如此：

因为前台的/board目录有附件，所以后台对应应该有上传，于是去猜测/admin/board/这个目录下的文件，最后找到个news.asp，于是读取一下：

根据源码，一路跟踪到news_edit2.asp这个文件才发现上传表单，但是需要登陆：

0x03 终于突破

又迷茫了好一阵。。。
没办法继续找，常规的思维告诉我们，后台的系统设置什么的可能存在上传，比如上传logo什么的，于是我又跑去猜admin/sys目录下的文件：

好家伙，有个upload.asp（前面居然没扫出来。。。），访问：

然而难受的是点击上传之后会跳转到登陆。。。
就当我以为gg的时候，看了眼burp，发现是上传成功了，然后跳转的：

于是开始针对这个上传点，不过直接上传是不行的：

没关系，我们可以读源码：

好家伙，后缀控制得很死。

然而文件名可以钻空子，让我们看看文件名的构成：

ufp = upload.form("schyy")&upload.form("exid")&upload.form("idno") & upload.form("extend") &"."&upfilename(ubound(upfilename))

前面三个参数都是我们可控的，这样我们直接进行在前三个参数进行截断就行了：

这里我还跳转了一下目录，跳到上面一层去了，因为默认的那个目录，不管访问啥都是403：

好家伙，终于拿到了shell：