作为一个漏洞挖掘的新人，第一次写文分享，如果有写得不好的地方希望大家给予批评指正。希望能加入90和大家一起学习。

目标站点 http://xx.xx.xx.xx,访问的界面如图。

看起来似乎是某个管理界面。
尝试了访问phpinfo(),phpmyadmin等，均没有访问权限。
尝试访问Your Projects下面的目录，发现会跳转至/xxx(例如访问back则跳转到/back)。
请教了一下大佬才知道要在网站url后边直接加上这个路径去访问，例如http://xx.xx.xx.xx/back
随后在http://xx.xx.xx.xx/NMIS下发现了一处跳转(抱歉这里没有存图)

大概意思是要跳转到http://xx.xx.xx.xx/NMIS/login.html,但是跳转部分的代码失效了，于是手动加上/login.html。跳转到了一个登录页面,且url的域名也发生了改变(比如本来是http://11.22.33.44/NMIS的，手动跳转后变成了http://xxx.com/NMIS/login.html 了)

对登录框稍微尝试了一下爆破，注入，没成功。
直接不带路径访问目标url。发现目录遍历且有源码泄露。

下载源码包，开始审计。

发现/NMIS/api/controllers下的NcUserAPI时，有一个login_init方法，会设置一个会话(这里函数本身应该是校验身份后给用户设置合法会话的功能，但是直接访问的话便可以直接得到一个合法的会话)

于是我们直接访问http://xxx.com:8088/NMIS/ncUsersAPI/login_init,获取到一个会话令牌.

随后发现这里还有一个search方法，看起来像是查找用户信息的。访问一下，如下。

(这里如果没有先访问login_init获取session是不能直接访问search方法获取信息的)。

随后把刚才密码的md5丢到在线解密网站，得到一个账号和密码。回到刚才/NMIS/login.html的登录框。尝试登录。
登陆后头像处存在任意文件上传，直接传php一句话木马。

代码执行成功

由于是edusrc，讲究点到即止，本次挖掘到这里也就没再继续往下进行了(提交跑路)