WooYun.org

起因就是无聊的蛋疼，想检测下奇艺，恢复吧，先扫了下二级域名发现目标omov1.iqiyi.com。
开始收集信息，SuperScan无条件扫描1-9000端口，边扫边看web,用御剑扫了下敏感文件

发现配置文件，没有发现svn泄露，我猜测可能用了其他工具进行编辑，试着访问config.inc.php.bak，确实存在，根据配置文件发现了数据库敏感信息，尝试telnet上面的ip结果失败，往下看看到了编码是GBK，又想到了宽字节注射，检测了一圈并未发现。

返回到superscan结果也出来了，有几个特定端口，telnet了下收集了各自端口的信息，

发现有个ftp,于是乎自定义添加到x-scan里面跑服务器的漏洞。

web层搞不定，系统层还在收集信息，前面telnet得到了ftp的信息，现在就从ftp入手吧。
ProFTPD 1.3.2 Server,记得在zone里有个基友谈到过这个版本有个proftpd mod_sql injection,但是exp我没有现成的环境啊，妹的操起dw写了段，先测试看能不能绕过登陆。

<?php
$user = "USER %') and 1=2 union select 1,1,uid,gid,homedir,shell from users; --"; 
$pass = '1'; 
$conn = ftp_connect("omov1.iqiyi.com",2024,5);
ftp_login($conn,$user,$pass);
?>

运行后

靠坑爹啊，这是登陆失败的节奏，肯定打补丁了。。。
这个时候x-scan报告也出来了，总结了下信息，系统层估计搞不定了。转回web吧，看到有omov1肯定有omov2啊，尝试了下果然有。

但是是内网连接，没办法。这两套系统都是一样的，我想用迂回战术吧，就来看看omov2的服务器安全效果怎么样，扫描发现FTP存在匿名登录，也存在cwd越权跳转目录。cwd命令式telnet下交互用的，就用telnet连接ftp开始尝试漏洞。port方式不显示数据，就改用pasv方式吧。

发现并不能跳转出pub目录，应该是误报，在检测的时候只要cwd执行成功可能就提示为漏洞。看来还得从web入手。突然想起来3306不是可以外连么，试试从敏感信息文件上获取的数据库信息，结果omov1.iqiyi.com,root,svod3edcvfr4进去了。妹的折腾这么久。select load_file('/etc/sysconfig/network-scripts/ifcfg-eth0');确实是本机ip，然后结合phpinfo的信息导出shell,结果没权限，找上传目录呢发现是另外一个域名，http://pic1.svod.cn/,ping了下发现是同一个ip，并且爆出了路径，就不用去load_file配置文件了。直接写一个一句话完事。