参照之前漏洞 WooYun: 迅雷某分站SQL注入Root权限可Getshell ，引出本次主角
http://bolt.xunlei.com/bbs/forum.php Bolt界面引擎官方论坛
很明显，上次的漏洞已经修复了，论坛管理账号密码也修改了，但是却在无意中发现了一处任意文件下载
http://xlue.xunlei.com/bbs/config/config_ucenter.php 同主机不同域名

数据库连接信息：

define('UC_CONNECT', 'mysql');
define('UC_DBHOST', 'localhost');
define('UC_DBUSER', 'root');
define('UC_DBPW', 'sd-9898w');
define('UC_DBNAME', 'xl_bolt_bbs');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', '`xl_bolt_bbs`.bbs_ucenter_');
define('UC_DBCONNECT', 0);
// 通信相关
define('UC_KEY', 'U3i1L5A7c9Barac0l5hc01zef6W7u4icR533JaP5K3C4pez4EeM0EbQca0KePfu8');
define('UC_API', 'http://bolt.xunlei.com/bbs/uc_server/');
define('UC_CHARSET', 'utf-8');
define('UC_IP', '127.0.0.1');
define('UC_APPID', '1');
define('UC_PPP', '20');

由此可得数据库配置信息及UC_KEY，自然想到uc_key getshell，无奈权限不够，第一次失败
如此搁置N久，突然某天翻到，遂想是否可以深入一下呢，比如：
http://xlue.xunlei.com/bbs/uc_server/data/config.inc.php ucenter配置信息

define('UC_DBHOST', 'localhost');
define('UC_DBUSER', 'root');
define('UC_DBPW', 'sd-9898w');
define('UC_DBNAME', 'xl_bolt_bbs');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', 'bbs_ucenter_');
define('UC_COOKIEPATH', '/');
define('UC_COOKIEDOMAIN', '');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'utf-8');
define('UC_FOUNDERPW', '09364d96ffb41001e1cada808b37c018');
define('UC_FOUNDERSALT', '460676');
define('UC_KEY', 'G6x0Xe1cF4FbR3J27c81W4OcS5h5fbhaheFeY5j8V3J8C9W983l135Kcm0W1v9Qd');
define('UC_SITEID', 'G6E0Newcj4xbt382lc21p4Bcc5W5hbGa1ewe8598p3w8X9T9c3s1A5mc50C1E9kd');
define('UC_MYKEY', 'b620jeUcb4jbe3m2dcF1g4Qcp5p5Db2a0eDeE5K8V3a8n9b973a135Ecw0b1e9zd');
define('UC_DEBUG', false);
define('UC_PPP', 20);

解一下UCenter创始人密码 09364d96ffb41001e1cada808b37c018:460676 cmd5.org上可查到q1w2e3asd
有了UC_KEY、数据库信息、UCenter创始人密码，能做什么呢？
参考 WooYun: 途牛网某服务配置失误 导致论坛敏感文件泄露(致使百万用户信息告急) 重置密码试试

就拿管理员测试吧，先找到管理员用户名bolt_admin123

然后本地添加相同的用户名，密码随便填

提示“用户名已经存在，但尚未激活，是否需要激活？”，点确定

然后本地直接重置该用户名密码为123456xw

以用户名bolt_admin123密码123456xw登陆http://bolt.xunlei.com/bbs/，成功

本想，有了后台管理账号，应该能getshell了，然并卵，第二次失败

算了，点到即止吧