WooYun.org

google搜索了一下分站，没找到什么漏洞，从C段入手，查看idtag.cn的mx服务器是mail.idtag.cn,ip 211.151.123.250，扫描了一下这个段，找到了http://211.151.123.232/desktop/parse.action

struts2执行漏洞,这个站是原来的dt.id5.cn，新的网站架构换了，没这个漏洞。拿下shell后，研究网站，这网站是可以用身份证号码+姓名查照片的，不过是老的，所以接口没用了。
扫描内网，找到了一个Tomcat，http://192.168.1.151:8080/

admin,admin进去了，拿下shell后发现，此服务器是gboss.id5.cn国政通综合业务平台的测试服务器，登录测试系统后，发现里面有身份证查询接口的配置，不过这是测试的系统，很多东西都不对，要拿到gboss才行。用测试系统的帐号去登录gboss，都进不去。研究源码后发现，他有些页面不用登录也可以访问，http://gboss.id5.cn/empQuery.do?operate=list，这里可以看到用户列表，查询用户这个有注入

读admin密码，32位的MD5一位一位的猜，十分钟过后，终于读出来了，倒霉，不能破解，换个管理员，又是半天，还是无法破解。没办法，查看首页登录的代码，发现它首先把密码MD5了一下，再去验证的，刚好不用破解，另存为本地文件，我直接本地提交HASH，登录成功。
接着想办法拿shell，找遍了所有功能，上传绕不过去，不过发现了他有下载客户上传的文件的功能，看下URL,http://gboss.id5.cn/business/webBatchUpload.do?operate=download&type=1&thrId=120944358&callType=2&url=filepath,试下下载/etc/passwd，成功。扫描到他开放了7001端口，访问http://gboss.id5.cn:7001/console/，weblogic的后台，试了下默认密码，进不去，用之前的文件下载漏洞，下载到weblogic的配置文件，本地搭环境，把密码解密了出来，进weblogic后台，部署war，成功拿下shell。然后反编译网站的class，找到了接口的调用方法，和接口的授权文件。在网上找了个身份证号来测试，成功看到照片。照片用base64解密下就行了

剩下的就是看女神的了，但是不知道女神的身份证号啊，身份证前六位是地区，这个可以确定，然后后面8位是出生日期，这个也可以确定，最后一位是校验码，根据前面17个数得来，那么只有三位数不知道了，身份证倒数第二位偶数是女性，这样，这样就只有500个号了，用PHP写好，提交，很不幸，没有找到，后来我才知道，这是2008年的老数据，当时女神还没身份证呢，哎，过程这么坎坷，最终还是没有看到。