WooYun.org

新网的漏洞，我去年就提交了(http://wooyun.org/bugs/wooyun-2012-012293)，但由于厂商原因给直接忽略了，好伤心的，今翻记事本又拾起，发现部分尚未有修复，整理如下：
1、主站存在FCKeditor 编辑器列目录漏洞，还有两分站也使用的FCKeditor 编辑器
http://www.xinnet.com/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../

http://hymanage.xinnet.com/Modules/common/components/FCKeditor/editor/dialog/fck_about.html
http://manage.xinnet.com/Modules/common/components/FCKeditor/editor/filemanager/browser/default/connectors/test.html
从主站列的目录中找些一些敏感的东西，如备份的全站源码；某会员信息表格，还有一些其它的压缩包，截张图吧

2、通过查找同IP段的网站，发现一个服务器上放的都是核心代理商的网站，发现又是Fckeditor，这次许多上传的页面没删，直接拿shell，却不料已有来者捷足先登

3、继续扫，看到了中企动力ICP备案系统，知道你们所属同一家集团，于是尝试弱口令admin，乌云佑我，进去了，后台一上传处未做过滤，直接得shell

4、再接着扫，进到了你们集团内部企业运营支撑系统，Struts漏洞，于是，你懂的