WooYun.org

小时候，记得我们家的窝棚一直没通网络，后来党国政策好，开始搞棚户区改造，几年后侨迁新居，当时第一家接入的IDC运营商就是铁通，其次是电信，但在北方，电信网络是极不好的。所以我们家自然而然的办理了铁通网络，但从此伴随我的便是不胜其烦的宽带推送广告骚扰，每隔几分钟，只要打开新的网页，右下角就会弹出广告页面，用虚拟机打开也有，这让我更加确定了是宽带运营商所为。电话投诉也不了了之，第一次工信部出面处理了，过了几周后又恢复了广告推送，实实令我颇为愤怒，本来花钱购买的是网络服务，而不是广告服务，用户合同中也并未提及广告推送业务，这种绑架用户的霸道作法实为丑恶的奸商嘴脸。那一年，我没有选择沉默，年轻气盛的我绝不向欺凌客户的无赖国企屈服。
在经过多层次多节点的抓包分析后，我确定了广告推送的来源，因为图片是存储在推送系统主机里的，虽然点击广告图片跳到的网站是广告主的，配合谷歌搜索，直接找到了推送系统的后台管理地址。而且这套系统同时集成催缴费系统，有时候收到运营商弹过来的催肥通知页面，就是如此实现的。这套推送技术利用宽带光纤网络的光分复用 还是时分复用的功能实现，当年找了下技术文档，不过已经记不清了，毕竟是运营商级的。咱也就玩玩简单的路由协议，不懂这么高深的。
当我访问后台发现这个AJAX实现的登录入口并没有什么可直接利用的脆弱点，也没有猜到弱口令，几乎陷入绝望，一边开着wscan，一边对着屏幕发呆，就在此时，我突然注意到这个管理系统的后台目录名极其特殊，似乎代表着这套系统的开发名称，我就顺手在路径后面输入了个.tar.gz，想看看会不会碰到网站系统打包的lucky，结果一击命中！
下载了网站源码，查看数据库连接文件，发现数据库就在本机，而且对外开放3306(20131130测试已不开放外连)登录之后直接拿到管理密码。但因为是linux，虽然暴出来了网站目录，也无法导shell，那个目录对mysql运行帐号无写权限。管理后台也拿不到SHELL，因为功能很简单。
最惊心动魄的时候到了，登录系统后发现此系统是铁通全省的推送系统，可针对省内任何一个城市做推送，此时我已经找到了“广告推送白名单”，已经可以把自己排除在广告之外了，但本着GEEK理念还是偷偷尝试添加了一个广告推送项目，针对我家那个城市的铁通用户，内容完全无害，就是一个一直在走正步的小黄鸡，很可爱的哦，确定完成后默默等待了数十分钟，重新打开百度，接着就弹出了这个

删除添加的推送项目，把自家宽带帐号加入白名单，一下子世界清静许多。
冷不丁的想着是不是其他省也存在类似的系统呢？重新用谷歌搜索了下特征后台地址，这就有了此次福建省的脆弱问题了，他们使用同样的系统，而且管理员密码都是系统默认的，两套系统的root密码都相同，这说明这个长长的一串chinatt10050就是这套广告+催缴费推送系统的默认管理密码。不过对此我并未做相同的测试，因为已经没有必要了，我的目的已经达到了。
就此罢手 搞定收工。