WooYun.org

通过pcjoy.cn反查得到joyact.com，nslookup获得邮箱地址

扫描端口得到WEB：124.207.62.74（zentao）、124.207.62.74:8080（scmmanager）
zentao和scmmanager均存在默认口令

scmmanager是源码托管系统，通过此系统获取所有WEB系统的架构和文件还有数据库密码等敏感信息

通过zentao上传shell

shell是继承system权限，所以可以直接抓取系统用户hash，通过信息收集发现这个内网是web开发的部门，在此段web上都是一些测试系统，通过扫描mssql发现此IP：192.168.1.6上存在弱口令并且机器上有很多敏感信息（包括后台地址和用户密码），和此IP：192.168.1.180上存在多个系统用户，通过抓取hash获取密码

尝试在外网访问后台却打不开此地址，开始以为是关闭了或者更换了域名，后来通过收集到的系统密码扫描了ipc发现此IP：192.168.1.185发现了一些pcjoy的域名信息：

因为看到域名解析在内网机器，然后在170上访问域名，顺手ping一下是外网IP，想到后台应该限制IP访问了，尝试之前在6上发现的账号密码登录后台，不成功后通过在scmmnagaer上获取到后台网站架构和文件，发现后台存在越权，获取管理账号后使用在6上记录的客服后台密码登录成功，没拿下shell

在商城后台发现同样存在越权，不过商城这里使用js控制了，通过禁用js添加了一个用户，由于在客服后台上使用管理账号登录后来被踢出来了，所以就直接添加个用户，发现任意上传后getshell，上传地址为：http://shopmanage.pcjoy.cn/shopmanage/UpdateImages.aspx?GoodsID=199 ID任意填写，不要覆盖上架商品图片即可，在shell可看到用户数。