WooYun.org

中兴写号系统：

通过前期信息收集，发现一个工号/密码00066936/00066936，可以直接登陆系统：

上传不了shell，没有SQL注入，好像没有什么卵用呀，是不是权限不够呢,看下用户管理，能看到用户列表，但是其他用户密码也不是工号或弱口令：

奇葩的地方开始了，我们选择查询指定的用户名，比如admin，好像返回没有什么特别的地方：

但是截包，我们发现居然返回了USER_PASS字段：

但是密码MD5解不开，查询一下00066936这个的USER_PASS，可以知道要么不是MD5加密，要么可能是多次MD5或者加盐的，破解是没有什么希望了，但是发现cookie字段居然是这样的：

通过上面的cookie可以发现，cookie通过usernamerewriteonline_cookie_login_username，usernamerewriteonline_cookie_login_password字段去识别身份，而且password正好就是我们查询返回的USER_PASS字段，自己构造一下cookie：

刷新一下，就已admin身份登陆进来了：

admin身份登陆就多了一个功能,系统异常日志，还是无法getshell，查看异常日志，发现还是有注入的，但是我都是admin了，注入也没啥用了：