WooYun.org

利用方式很简单，只要在如下连接｛｛｝｝位置填入想要查看的文件路径即可

http://xinyi.creditease.cn/ajax.do?action=download&file=../../../../../../../../../../｛｛｝｝

2.最近刚看猪猪侠提交了一个rsync的漏洞，那就来看看这个站点的rsync配置吧。
下载/etc/rsync/rsyncd.conf查看

可以看出使用了用户认证，虽然是弱密码123456，但是也限制了ip。无解
3.继续深入一下，操起nmap看一下开放端口

4.nice，开放了不少服务，拿ftp来演示吧。
下载/etc/vsftpd/vsftpd.conf查看:使用了pam进行身份认证，禁止了匿名访问。

下载/etc/pam.d/vsftpd :看到身份认证数据库

下载ftp的身份认证文件：/etc/vsftpd/vftpuser.db，使用notepad++打开：得到ftp的用户名和密码（从右向左看，一个用户名一个密码，关键用户打码）

5.使用马赛克用户和对应密码登录ftp

上传下载均可。猜测目录内容均为网站目录。xiaowei目录猜测是宜信的小微金融站点。
6.上传一个test.txt到该目录下，并且在这个连接访问一下http://xiaowei.yixin.com/test.txt，同步成功。

心中一喜，直接传个php马儿不就ok了，结果在实践过程中遇到障碍，上传的php文件用菜刀连接提示404，到ftp目录里刷新一下，发现php马没了，但是test.txt还在，猜测可能有某种杀毒或者规则将php文件kill掉了。
于是改变了一下思路，nginx的服务器，测试一下解析漏洞吧http://xiaowei.yixin.com/test.txt/1.php，访问该连接成功解析，nginx解析漏洞存在。
继续上传一个xiaowei.txt的文件，用菜刀连接http://xiaowei.yixin.com/xiaowei.txt/1.php成功

7.一句话连上了，xiaowei目录的站点也找到了，其他目录对应的站点呢？手工查找太麻烦，直接看nginx配置文件吧，结果/etc里翻了一遍没找到nginx配置。。。换个方法：虚拟终端里locate一下吧：

nginx.conf中每个server_name会对应一个目录，下图显示出ftp目录与域名的对应关系（2个为例）：

nsd：nsd.yixin.com
english:english.creditease.cn
影响范围：
nginx配置文件中的任意站点：目测大概也有10-20个
每个目录下上传个马，都可以拿到对应域名的shell，不多谈。
8.need more？？？
shell了，数据库就随便翻随便看了，涉及的都是金融用户，我就不继续了。
nmap里还有很多服务类端口，其中管理用户与密码写在配置文件中的，均可以深入，由于在同一个ip，继续也乏味，我就不深入，只拿ftp服务演示一下。