WooYun.org

先让我用个暴漫表达下我的心情。

开讲：之前进了你们好多分站，你们表示很淡定，所以我立志要进主站内网。所以我的目标定到了www.iflytek.com。
主站不过DNS域传送的漏洞，相信提了你们也会忽略，但是在这说下，你们自己让技术人员学习下。学习链接：http://www.wooyun.org/searchbug.php?q=DNS%E5%9F%9F%E4%BC%A0%E9%80%81

还是从主站入手，查查主站的旁站。

看到上面图 红色的网站。安徽省工商联。
其实我不大明白这个和讯飞有什么关联，但是经过ping，确定确实用了同一个公网ip。
目测他们是你的客户？（入侵是从这里的开始的，后面我会证明这和讯飞有很大关系，要是你真的觉得和讯飞没有关系，那就把这个漏洞转给cncert ，而你也千万别修复，让工商联修复，好嘛？ ^ ^）
漏洞点：http://www.ahgcc.cn/siteserver/ siteserver3.5存在某漏洞，可以登录后台。上传shell，shell地址http://www.ahgcc.cn/sitefiles/temporaryfiles/contents/iis.aspx

具体什么漏洞，想知道的话就私信告诉你把，目测你们不感兴趣 哎，你们就当弱口令出来吧。。
拿到shell了以后 我们干嘛呢？ 提权吗？权限确实不高。
Argument:
whoami
iis apppool\ahgcc.cn
怎么提呢？ 本地溢出？目测2003还能秒杀了。然是systeminfo 看了一下
win2008 r2 X64 好家伙，我哪有这EXP啊。

数据库提权？ netstat -an 一下 没有一个跟数据库相关的端口。
原来站库分离啊。来看看web.config

server=192.168.75.66;uid=sa;pwd=iflytek;database=ahgcc_new
终于，找到和讯飞的联系了，如果不是你们维护的，密码不应该这样吧？
192.168.75.66这台服务器有了sa权限，那么提权不就so easy的事情么。
可以看到很多数据库：

可以执行系统命令：

别担心，未做破坏性动作。
小结一下：到现在我们拿到了http://www.ahgcc.cn 内网ip（192.168.75.61）的webshell（权限较低） 和内网另外一台数据库服务器的system权限。
接下来，我们继续挖掘。查看这台服务器上还有哪些网站。

可以看出来，应该都是讯飞的客户。
再看看每个网站的web.config文件我就不截图 直接贴出来啦
server=192.168.82.188;User ID=devil;Password=devil;database=StatisticSystem
server=192.168.75.66;User ID=sa;Password=iflytek;database=IEPS
server=192.168.75.88;uid=sa;pwd=gf910)YZ;database=siteserver
server=192.168.75.66;uid=sa;pwd=gf910)YZ;database=huishang_gov
这样 理论上 又有两台服务器被攻破了，是不是？
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈
其实前面都是铺垫。因为我的目标是
www.iflytek.com
showtime 机智的少年：

看到没。直接返回了 www.iflytek.com 的内网ip。192.168.75.28
到这 如果厂家还认为和讯飞无关的话，那就忽略吧 。。感觉不会再爱了。
再看思路
要渗透192.168.75.28 内网渗透肯定会简单很多，当然，我只是有一个shell做跳板，最好的 当然是获得个远程登录的跳板机，思路还是先提权入口服务器。http://www.ahgcc.cn
oh yeah 发现FZ。

利用FZ提权。
由于FZ在内网中，利用portmap端口转发14147 然后远程连接上去，添加 test账号 共享C盘。

准备端口转发出21号，端口，但应该是不可以的。
当我满心欢喜 ，公网ip 60.166.12.119 开放了21号端口时，却发现好像被。。。墙了。。
当当当。各位看官，到此结束啦，其实木有提权成功啦。 也不敢再继续深入下去了，
怕讯飞找我喝茶啊。。。。