WooYun.org

URL:
http://news.zrtg.com:8080/exchange/externaldoc/queryExternaldoc.do
无验证码可爆破.
获取一弱口令.
zhangzhong 123456
(其他弱口令请自查)

每天都有几百条新闻稿,各种新闻头条啊。

因为Fckeditor版本过低,可任意上传JSP文件.
http://news.zrtg.com:8080/exchange/widgets/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../jboss-4.0.5.GA20110511/jboss-4.0.5.GA/server/default/deploy/

（Fck列目录）

可上传任意文件,利用前面的列目录可获取路径,
http://news.zrtg.com:8080/exchange/widgets/FCKeditor//editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=/
可惜各种404,普通图片都没有,很纳闷-- 然后通过列目录../跳出web目录 各种翻,跟同事研究,得出结论:UserFiles不在web目录。（jboos目录太奇葩了）。
就因为这句太奇葩了,想到,尼玛服务器是jboos中间件啊,直接用jboos部署不就好了。
试了jmx-console 需要密码,试了弱口令无果,
http://news.zrtg.com:8080/invoker/JMXInvokerServlet 这个存在 那么果断可以命令执行了.

第二次本地部署因为被waf删了- 后来上了个免杀一句话
获取Webshell

这下终于知道为什么fck各种突破无果了,因为我们各种翻是在D盘 而站点目录在C盘。
数据库啥的就不连了,看到那一排注释我就知道错了

shell直接system 也不需要提权了,就传个txt证明一下