WooYun.org

本来在挖TCL的漏洞，挖着挖着都入内网了，突然发现不对，内网里面竟然还有其它公司的网站，难道挖到内网云了？于是拿IP在wooyun搜了一下，发现还真是撞了
http://**.**.**.**/bugs/wooyun-2010-098403
先附一下tcl在该云平台上的漏洞，然后接着这个漏洞往下走：
http://**.**.**.**/admin 弱口令 : admin/admin

进入后台后，点击系统--系统设置--注册与安全 在上传处添加jsp或者jspx后缀

保存后，点击内容--端口位置管理--添加--选择文件

之后会打开一个文件上传窗口，点击本地上传

先将jspx文件修改成jpg格式上传，然后抓包，去掉.jpg

jspx文件就上传成功了

http://**.**.**.**/upload/image/201510/36ba2604-feb6-4e22-ab8c-3b24e414affa.jspx

接着用菜刀连接，直接进服务器

权限是root

上传tunnel.jsp可入内网

内网访问

OK，到了上面最后一步的时候已经入了内网了，而且还拿到了数据库，本以为是tcl的内网专用数据库，结果内网漫游的时候却看到很多其它大公司的网站：

。。。
而且这些公司网站的数据库都在**.**.**.**上面，且用的是root权限

这些不同的库使用的都是同一套表结构，也就是哪怕我不知道某个平台的后台密码，我只要把密码重置成admin的md5即可登录该用户的后台(密码是简单md5加密)

只要登录到后台就可以像操作tcl平台一样上传shell，重而拿到服务器权限