WooYun.org

1.任意文件下载:
http://ec.crcc.cn/b2b/web/fileuploadAction.do?method=downLoad&fileName=web.xml&fileType=text&fjbh=web&fjml=/WEB-INF/
翻了源程序后发现程序中还有几处文件下载，都存在问题，比如这个就更方便了：
http://ec.crcc.cn/b2b/web/uploadAction.do?method=downLoad&fileType=text&fileName=/etc/shadow
2.SQL注射：
http://ec.crcc.cn/b2b/web/two/indexinfoAction.do?actionType=showOneProduct&xh=2&dwbm=-1' union select NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL from dual--&sbwzly=0
3.渗透测试：
1) 先下载些网站源程序来看看，特别是weblogic的config.xml和WEB-INF下的一些常见配置文件，再根据struts-config.xml批量下载类文件；
2) 结合源码，SQL注射起来就简单多了，密码只是简单地通过base64加密，读取admin帐号密码登入系统，得到该系统管理员权限；
3) 在翻源码时发现程序中存在一个用户信息导出的操作(在com.sunwayworld.srm30.web.sysuser.action.SysUserAction这个类中)，可导出全部上万用户信息，其中email带crcc的当然是内部人员了，可用作后续渗透;
4) admin帐号可以修改系统文件上传类型，添加jsp，在系统系统里翻半天没找到上传，根据struts-config.xml直接去源程序里翻，猜也猜得到是那个fileuploadAction，就看怎么调用了，上传了一个jspshell文件，不过上传后没返回文件名有点奇怪，保存的是"年月+4位数字.后缀"的形式，扫一下吧。
5) 拿到了webshell，不出意外，当然是系统权限。ec.crcc.cn的ip地址是114.247.103.7，而114.247.103.6这个IP的8000端口也跑着这个系统，依法施为，这台主机当然也跑不了。通过这两服务器可以尝试渗透内网中其它主机，笔者就没测试了。
6) 导出的用户信息中没密码，weblogic里有关密码的东西都是加密的，笔者也不知道怎么去调用它的datasource，对这些东西不熟，不过不是还有SQL注射么，根据SQL注射漏洞获取用户对应的密码（多数是弱口令），使用这些帐号密码再去测试企业应用中心(work.crcc.cn)和邮件系统(mail.crcc.com)，从中都找到了能登陆的用户。
7) 现在能掌控两台服务器，部分多处通用的帐号密码，足够向中国铁建股份有限公司发起进一步渗透了，笔者就木有继续了。