无意间在网上找到了一个SeedDms系统

试了下admin,admin登录失败，所以就先收集信息吧，然后制作一个字典,burp爆破

爆了2分钟就出来了
用户名admin
密码2359631867
我们成功就入了seeddms

权限是只读的，转了半大天终于发现了个上传位置

上一个远程代码脚本

这里并没有限制什么，可以直接上传php文件

上传成功，但别以为这就结束了，打不开。。。。
确切说是没有位置

文件有了，但没有位置，太坑了啊，不能放弃
首先我们来分析一下，这个网站是存在多语种选项的，那就说明存在languages目录，接下来我们对languages目录专门扫描一下

扫出来乱七八糟一片，其中有一个关键文件languages/sk_SK/lang.inc

仔细看一下，你会发现这个

settings_contentOffsetDir_desc文件系统配置设置，生成一个1048576文件夹,直接在域名后面加1048576显示404
但之前我们已经做了大量的信息收集，用dirbuster爆到了/data/1048576/

再后面直接加上1.php是打不开的404，再次陷入深渊中。。。
回到主页面继续分析

out.ViewDocument.php?documentid=3&showtree=1
似乎我们一直忽略了documentid=3，/data/1048576/3/试一下

哈哈，成功了，后面加上我们的脚本，成功运行1.php

真累啊，希望大家看了对文件目录有更多了解吧。