在百度上用网页中的提示字查找，关键字是“思易ASP木马追捕”，找到相关制作网站网页约1，260个，从有这些关键字所在文件的扩展名看，饼啦？居然可以回到根目录，看到其它的网门户建设站，看来是管理员没有设置访问的权限，有戏哦！如图6所示。

到各个目录下看看，进入一个FTP下载目录，有不少电影，先放一边。转了几个目录，下载了些不知名的工具，还下载了一个Web.rar文件，打看一看正是这个网站系统。这个在网站上可看不到，终于让我下到了，有点收获！

继续找上海可以入侵的地方，转到另一个可以访问的网站，看看数据库，扩建设网站展名是MDB，下载后顺利打开，密码还是明文的，成功了一半了。马上登陆后台，用得到的用户和密码顺利进入。有添加软件制作门户栏，但有点让人失望，只能填地址，不能直接上传，文章也没有上传图片功能。倒是有一个图片栏，可以上传图片。

既然是专门的图片栏，估计对上传类型做了严格的过滤，只能试试有没有上传漏洞可用了。用老兵的上传工具测试，结果不成功，扩展名改成了JPG。果然厉害，把漏洞补了.......