WooYun.org

现在手里掌握的资料有：4个系统权限，和一些内网系统段和内网办公段。
按道理说，办公段和系统段应该要有所隔离，但是经过探测，一些似乎没有进行有效隔离。
由于在线代理只能进行一些基本的操作，所以只能进行简单的web服务探测，看看有没有员工因为安全意识不足而泄露一些信息。比如测试站弱口令，上传测试点等基本挖掘。
果然，运气不错。不一会便在10.B1.C1.D105的80端口上发现了名为“dedecms”的目录，打开后发现为安装完后的默认页面，猜测是没有更改默认密码的，而且版本较低。于是直接利用网上的dedecms getshell方法得到了shell。
里面有一些文件。另外这台机器装了TortoiseSVN，可以获取到SVN密码，但是里面没项目，所以就没什么用。
乐视的OA用的是通达的OA，从Program Files可以看到，有通达OA的客户端。那么里面是否会有自动登录要用到的员工密码呢？
经过查找，在/data/user.db文件中，发现了以下内容

auto_login_passzhan****henDarren

那么密码是不是就是zhan****henDarren呢？
答案是对的。
于是利用他的密码进入了乐视OA。

OA中有一些聊天记录和开发项目信息。
继续。
随后，在10.B1.C1.D123的80端口上，发现了appserv的默认安装页面。

如果是测试程序，打开80端口后应该是显示web程序的内容啊，怎么会是默认页面？这么说，appserv的默认配置也没改？
于是百度了appserv的mysql默认密码，配合appserv默认自带的phpmyadmin，成功登录进数据库。
然后利用appserv自带的phpinfo获得web绝对路径，再利用sql导出shell，成功获得权限。

同样的问题还在继续。
在10.B1.C3.D136，发现了Vertrigo Serv的默认页面，百度Vertrigo Serv的默认密码后，用appserv相同的方法，获得了权限。

俗话说再一再二不再三，但是随着渗透的继续，wamp也来凑热闹了...
这些段全部扫下来，出现默认配置不修改，测试程序弱口令等此类安全意识不足的机器多达10台。
其中一台机器里就存着这么个东西

将近20台外网应用机的密码。这不是送货上门么？正愁没办法代理来着。。
于是用已有的外网机执行ssh转发，转发至任意一台机器，然后root登录，开代理。。
从机器内可以看出，这些机器都是乐视手机站的应用机。而通过挖掘，也成功获得了大量数据库信息。
随后经查看，又获取到了乐视手机站的后台地址。通过得到的数据库内容，拿到了管理员信息，并成功登录乐视手机站后台。

后台权限极大，例如可直接修改客户端显示内容等信息。

甚至可替换所有乐视移动端的开机大图。

可见，乐视员工的安全意识急需得到加强。