WooYun.org

通过SQL注入点，拿下xp_cmdshell，可执行系统命令：

由此可推。。。getshell：

有了webshell只是一个开端，一看还拥有admin权限。。。这。。。没法提权了，看源码，看配置：

有了数据库连接信息，直接连上：

看看用表的信息：

好吧，明文密码，登录一个用户看看：

到此，这个小系统算是完全渗透进去了。
-----------------------------------------------------------------
觉得没什么东西，再看看系统，发现还部署有另外一个tomcat的系统（测了一下，疑似很老的没用的系统，tomcat6.0。。。），发现了一些非常有趣的配置：

tomcat的manager和host-manager登录用户名和密码，但是这个端口直接访问不了这个web服务，nmap扫一下，发现8081端口是可以用的，用这个试试？直接登录成功：

这儿可以直接部署war，看了一下已部署的，是一个ymlx（物流防窜系统），拿webshell：

老规矩，看配置，找数据库用户密码：

连上试试：

看看用记登录的表：

有个管理员，直接登录：

好多功能，没动，随便看了看：

到此，这个物流防窜管理系统也OK了
---------------------------------------------------------------
刚才nmap扫描的时候，还发现了8082端口可用，同样是tomcat的，用刚才8081的manager登录密码试试，成功：

这些部署的都是一些预算报销的app，webshell：

数据库配置信息：

完美连接：

到此，8082端口也拿下
-------------------------------------------------
拿下了这几个系统后，再想想，好像有很多地方都很类似。。。。密码完全相同！
随便开个webshell，看了看IP，是192.168.0.*的内网，用burpsuite扫了一扫IP段192.168.0.2到192.168.0.254的数据库开放和连接情况，结果是：
数据库用户名：sa
数据库密码：jzjtxxzx445522
端口：1433
数据库类型：sql server
可连接IP：

192.168.0.125
192.168.0.129
192.168.0.14
192.168.0.92
192.168.0.128
192.168.0.131
192.168.0.15
192.168.0.99
192.168.0.95
192.168.0.195
192.168.0.104
192.168.0.62
192.168.0.200
192.168.0.113
192.168.0.66

以上IP都可以连接，统计了一下，总共有大概60多个数据库，有一半是正在使用，差不多一半是以前的老数据库，数据量在10G以上！！！！！！！！江中集团现在正在使用的系统大部分的数据都是在这些数据库里面的，这。。。。。。。。。。。。。。。
到此，内网的大部分数据库已获得完全控制权
-------------------------------------------------------
虽然拿下了集团的数据库，但是感觉前面getshell的那几个系统与数据库的相关性不是那么大，三个系统也就用了3个IP的几个数据库，还有好多数据库没用呢，于是。。。。。。找了找江中的其它系统--江中OA系统，他们有两个，一个老的，一个新的，老的肯定没用了，那就新的吧：
也是tomcat，试试admin/jzjtxxzx445522组合，成功进入manager：

拿webshell：

拿数据库配置，这个数据库不在以上数据库内，密码有点小差别。。j改为了J：

完美连接，看看登录表：

进入admin看看，好多子系统功能，很多可直接访问：

功能太强大了，档案管理：

人事管理：

营销管家：

主数据管理：

到此，OA系统完美掌控
---------------------------------------------------------
随便看了看数据库，找到一个集团通信录系统，看看表：

登录后台看看：

至此，没有做更多系统的挖掘。
-----------------------------------------------