WooYun.org

#1 猜测及发现隐患
今晚在给手机上的应用升级时，闲着无聊打开了Wireshark进行抓包。就当升级完准备拔线时，窗口里突然蹦出了几个发向百度二三级域名的连接：loc.map.baidu.com、mobads.baidu.com、mobads-logs.baidu.com（原图已无法复现）

想起昨天和剑心聊（gao）天（ji）时谈到的一些企业高层对安全的态度，便下意识地ping了这三个域名一下。
前两个都解析到了cdn上，但是当ping到mobads-logs.baidu.com时，却发现并未到cdn，而是解析到了一个真实地址。

#2 IP段扫描及发现漏洞
于是利用扫描工具，对123.125.114段进行全面的扫描。
最终在123.125.114.213，发现开放了web服务，而且疑似是内部测试系统的对外。

首先是在模板下载链接处发现任意文件下载漏洞。

随后又发现有一处上传点。

上传后虽然未返回上传地址，但通过查看源码之后发现了这个

从这里可以看出，文件传上去后是存储在了heat-map/upload里，而不是临时存储。
接着便猜测，是否上传效验了文件类型，并且上传后有没有改名。
做一个简单的验证：上传一个文件名为2.jsp的输出“Helloworld”jsp程序，然后尝试访问http://123.125.114.213/heat-map/upload/2.jsp，发现返回“Helloworld”，由此证明上传漏洞存在。

#3 内网基础信息的获取及触发报警
在进一步测试前，曾经考虑过百度很可能有较健全监控报警机制。为了测试是否存在，便上传了菜刀JSPShell进行渗透挖掘。通过目录和文件信息可以看到，此服务器有多名百度员工在使用，存在大量脚本和相关信息。

通过netstat可以看到，此服务器有往百度多个内网B段的连接，如果能够获得这台服务器的高权限，将极有可能进一步深入百度内网。

同时，从员工留下的脚本内发现了多处映射在根目录的FTP匿名和数据库信息。

对服务器进行遍历后，mongo发现，百度服务器上安装了waf软件。

sms_cmd="gsmsend -s 10.23.199.131:15008 -s 10.23.248.104:15008"

跟踪链接后，到达百度短信报警平台。

目的已经达到，百度服务器有健全的监控机制，便没有进一步检测。由于JSPShell返回的部分信息触发报警，没过多久，Shell被清除，服务器下线，渗透结束。
另外，同段中的123.125.114.240疑似出现注入漏洞，请注意。

申明：后部分的挖掘是和先与剑心沟通后，征得同意才进行的。如有欠妥之处，还望原谅。
另外，感谢mongo基友的协♂助♂测♂试~