WooYun.org

人保健康网站内部分文件修改之后生成的.bak文件没有删除，并且服务器端也没有配置造成了部分源码泄露。

http://eshop.picchealth.com/claim/reportCase.jsp.bak
http://eshop.picchealth.com/complain/customerComplain.jsp.bak
http://eshop.picchealth.com/contQuery/password/resetPassword/index.jsp.bak
http://eshop.picchealth.com/contQuery/personal/index.jsp.bak
http://eshop.picchealth.com/index.jsp.bak
http://eshop.picchealth.com/newSales/index.jsp.bak
http://eshop.picchealth.com/sales/payForm.jsp.bak
http://eshop.picchealth.com/contQuery/password/login/checkLogin.jsp.bak

0x01有趣的事情（一）
其中，在http://eshop.picchealth.com/contQuery/password/login/checkLogin.jsp.bak中，有一段代码是这么写的，

String encryptPwd = m.getMD5ofStr(password);
	//查询本地库，检验用户名密码(1-注册账户 2-电子邮箱  3-证件号码)
	ContQuery_User user = new ContQuery_User();
	if("1".equals(loginType)){
		if(userName.equals("13852857988")&&password.equals("test")){
			encryptPwd = "13AB1B5166B40C6013F163217AAE3866";
		}
		user.clear();
		user.set("LOGINNAME",userName);
		user.set("PASSWORD",encryptPwd);
		user.set("USERTYPE",userType);

瞬间发现程序猿留下的可能是后门的一段代码
if(userName.equals("13852857988")&&password.equals("test"))
{
encryptPwd = "13AB1B5166B40C6013F163217AAE3866";
}
但是为什么这么写让我苦思不得其解啊。
后来就去登陆了，根据程序猿的备注，1是注册账号，用13852857988和test登陆不对，我就更纳闷了。

后来仔细研究那段看不太懂的代码才发现当账户密码是13852857988和test的时候，将加密后的密码改为13AB1B5166B40C6013F163217AAE3866存进数据库（我的理解是这样，如有不对欢迎打脸），然后md5解密，13AB1B5166B40C6013F163217AAE3866为197925，就登陆进去了。

在个人信息修改处发现了详尽的个人信息。不知道厂商要不要考虑这里参照淘宝那些电商的做法对部分敏感信息打码。

就像这样

百度了一下上面的信息，根据查询到的信息判断应该是人保健康的一名员工。
突然感觉很有可能是后台账号！但是找了半天找不到后台，找到账号进不去后台也是一件逗比的事情吧。。。。这里求不吐槽。
0x02有趣的事情（二）
在http://eshop.picchealth.com/sales/payForm.jsp.bak中发现了这么一段代码，

备注写的是有亲友在人保健康工作享受六四折，备注原来还可以这么写，真的是莫名喜感啊。（虽然这个程序猿写的备注的确是这段代码的真正作用。。。。）
0x03这个不是有趣的事情（三）
查询那个员工的时候发现主站已经被挂马了。需要清理一下网站，改后台密码以及整体排查一下服务器漏洞了。