WooYun.org

乐视网分站发现一个备份文件的包包。
地址是：
http://material.letv.com/material.tar.gz
下载后发现里面有内网数据库连接信息：
$host = '192.168.5.6';
$username = 'root';
$password='123456';
$charset = 'GBK';
$dbname = 'letv';
想找个phpmyadmin没找到。
但是发现下载的文件里有一个有趣的东西。
反正闲着无聊 就继续下去了。

下载的material.tar.gz 里面有个config.php，含有乐视网php工程师的email邮箱与密码。
于是我放下审计那个下载的php源代码的事情，邪恶了一把，进了乐视攻城狮的邮箱。
谁知道里面真的很有趣哦。
我发现email绑定了他的微博 百度 网盘等等，想进这些地方参观应该很容易了，不过我不是一个喜欢窥探别人隐私的人，所以就没进去。
引起我兴趣的是 这位攻城狮 最近在找工作的事。

他好像一直在面试。
后来我看到了他的录用通知书，如下图

13000大洋，真的好厉害呀，甚至比58同城的王鑫大牛高出那么多，哥顿时凌乱了。王鑫可是上过电视的 ，我所知道的上过电视的大牛只有两个大黑客，一个是我的偶像小顿哥，另一个就是王鑫啦。
我以为这位 攻城狮 肯定是有好多工作经验的科班出身的，谁知道看到后面的这个图，哥真想立马辞掉工地搬砖的工作，马上去报名个PHP学习班。

看到没有，乐视网的这位攻城狮 竟然是92年出生的 小学毕业生，瞬间秒杀乌云的名人 VIP 小学生啊。
算了，哥不想多说了，赶紧去报名学PHP开发去了。
本来想下载到乐视网的备份文件包，审计一下漏洞 拿个webshell呢，谁知道后来跑偏了，也没心情审计了。
不过乐视网这个漏洞 看起来没啥影响，但还是泄露了一些源代码，泄露了公司攻城狮的个人信息。
要是猪猪侠大牛知道这个洞，肯定 各种审计，各种大数据，各种社工，之类 就把乐视网日下来了。