WooYun.org

大汉爆出很多的漏洞，包括sql、任意文件下载、上传文件漏洞。
对于上传、下载这些越权的漏洞，大汉已经进行了修补，不过只是增加了对权限的判断，必须是登录成功的用户才能给进行上传下载操作，看似修补成功了。
不过现在大汉网站群在很多政府部门大量使用，即使存在sql注入。可能也还是一部分信息泄露，毕竟没有涉及到账号密码。
今天我曝的这个洞，乌云上还没有人提交过。

这是信息公开内容管理系统

这是jcms网站群，用户名和密码都是存储在同一张表中MERP_PUB_USER
每个政府单位都可以通过自己的账号来登录网站群，来发布政府信息。一旦被恶意利用，后果可以参考 14年宁波某政府单位网站被黑事件。

if ((("0".equals(pwd_encrypt)) && (!password.equals(entity
        .getVc_password()))) || (
        ("1".equals(pwd_encrypt)) && (!password.equals(entity
        .getVc_password_md5()))))

password为用户输入的口令；
entity.getVc_password()) 会从数据库中获取口令解密后，和password进行对比；
entity1.setVc_password(md5decode(entity1.getVc_password()));
这里先将数据库中的口令密文，存储到entity1结构中，使用md5decode解密，解密后再次存储到entity1结构中，这时的password字段已经是解密后的密码明文了。
到这里可以断定 md5decode 就是解密方式了，进行跟踪，存在自定义MD5类，实现md5encrypt和md5decode函数，使用了salt_key，实现口令加密和解密。这里使用了可逆的算法进行加解密，只要黑客将md5decode函数构造出来就可以批量进行密码解密了。都知道md5不安全，这种加密算法还不如md5...
编程实现批量解密。

返回结果

试了试其中某个用户的口令，找到他注册时使用的邮箱地址，竟然成功登录其126邮箱了。囧