WooYun.org

前两天学习@sql漏洞的时候，看见了天天果园这个厂商，发现他们的回复好令人感动，于是也想对他们出份力。
作为小菜鸟还是老套的思路，先找找注入上传XSS什么的。。但是他们robots，屏蔽了所有爬行。看了几处分站都上传又都是传到其
他服务器，不支持脚本解析，xss找了一些输入框，一直绕不过去。。。
于是扫描到了几十个子域名，一些能访问，一些不能访问。
其中筛选到了几个后台登录入口；
http://home.fruitday.com/ 这个是内部系统，已知的帐号有：[email protected] [email protected]
[email protected] [email protected] 可以尝试慢慢破密码。
http://blog.fruitday.com/wp-login.php 这个后台有三个管理，chunzi、admin、fday 也没猜到密码，但wp能直接爆破，我是没
有字典和网速支持。。
http://ks.fruitday.com/doc/page/login.asp
http://hq.fruitday.com/doc/page/login.asp
这两个是监控系统，前不久爆出过admin/12345的默认密码，但可以被改了。
http://oms.fruitday.com/ 这个系统看上去很重要，但是没有验证码，用户名也测试出是admin,但我没爆破成功。
终于有猜到密码了的。
http://tj.fruitday.com/login.php fruitday fruitday.com

还有这个网站流量查看的密码：fruitday.com 每天的流量不小啊，现在是12点过几分，看昨天的。。