WooYun.org

不知道有木有精华=。=
先来看看存在漏洞的站点：
cert.unionpay.com

嗯，就是中国银联认证管理系统了。
通过对他的探测以及扫描，发现存在任意文件读取漏洞：
http://cert.unionpay.com/company/en/register?lang=../../../../WEB-INF/web.xml
但是直接访问却是报错的：

在尝试很多截断无果，想放弃的时候，无意之中在url加了一个?。结果你猜？
截断了，并且读取到了web.xml!

如果到这一步，很可能就是一个简单的任意文件读取了，按狗哥的话来说，甚至连首页都上不了，影响不了用户和数据。
那么怎么办呢？对于我这种只搞php的。。java又不太熟悉，但是我们还是可以通过现有的材料对源码进行分析的。
通过对web.xml的观察，发现存在spring-mvc.xml

简单判断，应该是用spring开发的（非struts2）。
那么怎么办呢？印象之中可以遍历一下目录：
项目工程大概是这样:
-WEB-INF
-WEB-INF/spring-mvc.xml

很完美，的确是一个spring。但是到目前为止，依然离我们的标题（危害较大）非常遥远。
那么下一步我们就需要从目前现有的泄漏信息提取更加有用的东西：
忽然我把目光停留在这：

需要说的是classpath是可访问的，因为这里存在文件读取，因此是可以读取classes目录下的内容。
因此猜测：WEB-INF/classes/applicationContext.xml
我们访问下：

激动么！激动么，居然存在。
以此类推，猜测到下面了这些文件：
http://cert.unionpay.com/company/en/register?lang=../../../../WEB-INF/classes/data/import-data.sql?
http://cert.unionpay.com/company/en/register?lang=../../../../WEB-INF/classes/sql/h2/schema.sql?

从时间上来看，是2012年的，因此推断应该是demo文件。
略过，我们继续深入。找到了数据库链接配置：
http://cert.unionpay.com/company/en/register?lang=../../../../WEB-INF/classes/application.properties?

大部分都是内网的，没办法访问。