WooYun.org

明宇支持平台后台弱口令：
http://faq.minyoun.com/index.php?admin_main
admin
admin
先登录前台然后打开这个地址登录后台，用户密码相同。
后台页面在资料上传的地方可以上传shell：

直接是system权限：

administrator用户桌面有很多铭感文档，建议在服务器不要存放个人信息类文件：

虽然faq.minyoun.com对应IP开启3389，但显然是网关路由端口映射的其它服务器3389，我们通过端口反弹出来直接登录服务器：

查看运行（CTRL+R）记录，有默认访问共享（\\192.168.200.252\c$），可以成功链接，直接跳转到administrator桌面，可以看到桌面有很多铭感文件：

打开sqlserver企业管理器，有登录192.168.200.252的器记录，并且是记住了sa密码，这里已经连不上数据库，也没法访问3389，不过上面可以建立ipc$,我们先把sa密码从注册表抠出来：

数据库密码CRS252，通过这个密码可以猜想内网一些密码命名规则，192.168.200.252开放8000端口，并对外提供服务，是ecrs系统：
外网访问连接：
http://221.237.157.194:8000/ecrs/
我们直接访问共享磁盘给相应web目录写shell，并在外网用菜刀链接：

这样192.168.200.252成功拿下。
上面说道内网命名规则问题，简单手工尝试了其它服务器，成功猜到192.168.200.152登录密码：

到这里就不继续了，这样的内网相信稍微嗅探一下会沦陷一堆服务器，或者用命名规则生成字典爆破整个段都会有不少收获，因为是简单安全评估就会不再深入了。