免责声明

本公众号仅用于技术交流与学习，利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号只是知识的搬运工，取之于民用之于民。

信息收集

访问网站发现网站不存在robots.txt文件，扫描网站根目录未发现有价值的信息，点击网站按钮查看功能的时候发现有个路径是xxcms/…，然后访问xxcms发现网站跳转到后台，如图：

尝试弱口令和暴力枚举未发现正确口令，然后扫描xxcms目录发现一个未授权上传文件的页面，如图：

但是之能上传图片和office文档，尝试绕过失败，在主页和“投诉建议”功能处存在搜索框，但不存在SQL注入，如图：

点击“我要投诉/建议”可以写数据并提交，如图：

点击按钮之后其中一个数据包如图：

漏洞发现

使用salmap测试数据包发现存在SQL注入漏洞，如图：

漏洞利用

测试发现具有DBA权限，尝试直接通过SQL注入上传文件失败，网站路径有自定义成分，然后扫描服务器发现开启3306端口，然后通过SQL注入查询MySQL用户密码发现root用户Hash，如图：

使用在线MD5解密获得密码，如图：

使用该密码连接数据库，获取网站后台超级管理员登录密码，如图：

登录之后在LOGO上传功能处发现上传无限制，如图：

上传蚁剑、冰蝎和哥斯拉木马都不能执行，然后在GitHub找到免杀木马上传并成功执行，且权限为root权限，如图：

原文始发于微信公众号（迪哥讲事）：SQL注入+文件上传+免杀Getshell