问题网站是浙江省教育厅下属的网上就业市场大概有jboss控制台泄露、sqli、xss问题

但是从这个console不能拿到shell，msf利用失败虽然这样还是获得了一个关键信息：管悝后台的地址

随后结合这两个注入点：

然后通过猜解数据库和表结构，确定管理员表为EJ**HOME中的ADMIN****. 将数据dump下来获得几个admin账号及各校就业处工作站的账号

用一个账号登陆后台，功能还是很多的

上报教育厅和教育部的地方：

各校工作站账号可在管理员控制界面操作将学生信息导出荿xls

公司信息、offer信息、短信后台

注意公司信息里面是可以得到md5后的hash，可用来猜解密码

邮件平台可附带附件挂马，就不截图了

最后还有几個xss问题例子：

2. 个人简历处存储型xss，可插入联系方式等地方可以拿来打用人单位和管理员，拿敝校妹子做个示范

给jmx-console加访问控制管理员用強密码

另外代码需要重新review，sqli和xss不少或者干脆用waf

版权声明：转载请注明来源 @

? 2014 玉溪农业职业技术学院

地址：玊溪市红塔区研和街道向家庄41号 邮编：653106 电话传真： 招生就业：