前言

很久没有写实战文章了，恰好这周项目上有一个目标折腾两天时间，记录分享下其中的心路历程。（本次渗透过程均在目标授权下进行，请勿进行非法渗透行为。）开局就一个公众号，再问啥也不说，服了

里面的所有功能都要登录后才能使用看到，有点鸡肋想想思路先怎么下手

尝试一下忘记密码功能，输入从某个地方得来的手机号，验证码自动填1234，感觉这机会就来了

点击下一步，直接跳到重置密码，我曹太漂亮了

用重置得到的密码登录成功，有点搞头了

但里面其实没有什么功能，得找到后台去看看了，在安卓模拟器配置代理，网上很多方法教，不在多说，通过抓包得到域名信息，访问web端

用刚刚重置得到的密码登录成功

在参数后台加'and'a'='a，信息返回正常

在参数后台加'and'a'='b，没有信息返回，判断这里存在SQL注入

用sqlmap跑出注入点

发现是SQLserver数据库，查看是否是DBA权限 --is-dba 

结果为true是DBA权限，--os-shell 尝试执行开启xpcmdshell执行命令，emmm，可以执行

原文始发于微信公众号（实战安全研究）：实战 | 记一次SQL注入到命令执行的渗透测试