WooYun.org

当redis未授权火的时候，我当然也想找个例子试试，于是便扫描了川大的dns B段，202.115.0.0/16,运气也挺不错扫描到了一个目标：202.115.45.161

但是主机是windows，并且没有找到路径，只好先检测看一下。
0x01 拿ip到bing查一下（直接访问http://clbz.scu.edu.cn/打不开）

找到：http://clbz.scu.edu.cn:8080/com.wisesoft.cdreg.web/vehicleregistration/getCheckByList.html
但是打开一片空白，稍微修改url使之错误，成功的跳转到系统登录页面
http://clbz.scu.edu.cn:8080/com.wisesoft.platform.web/cdreg/login/welcome.html（系统1）
再去掉后面多余的文件及目录地址，得到第二个系统http://clbz.scu.edu.cn:8080/com.wisesoft.cdreg.web（系统2）
对于系统1，存在验证码重放漏洞，直接爆破得到一枚账号:test 123

系统1里面存放的都是开车进入学校的预约，但是并没有上传以及爆路径的信息。
0x02 这个时候只有看系统2，但是老师工号和姓名都没有，右键源代码查看登录成功后的跳转链接

直接访问该链接，发现跳转到了系统1的登录页面
http://clbz.scu.edu.cn:8080/com.wisesoft.cdreg.web/vehicleregistration/toList.html

这里我就明白了，系统1的cookie信息同样再系统2处有效，那么

这里前台js验证文件合法性，burp抓包绕过后上传shell

http://clbz.scu.edu.cn:8080/fileuploads/chopper.jsp   chopper

最高权限，直接添加用户

0x03 找到网站数据库配置文件

jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@127.0.0.1:1521:orcl
jdbc.username=cdcard
jdbc.password=manager
jdbc.pgsql.url=jdbc:postgresql://192.168.9.2:5432/ipms
jdbc.pgsql.driverClassName=org.postgresql.Driver
jdbc.pgsql.username=ipms
jdbc.pgsql.password=ipms

分别是oracle和postgresql的，而且服务器上带的有navicat，那么直接连接postgresql
在channel_info里面发现了80多个摄像头ip

绝大多数都是admin admin的弱口令