该案例记录了笔者2020年渗透测试的目标网站,当时首先找到了子域名SA权限的检索型注入,
认为能够顺利获得目标服务器的权限,结果在测试中遇到了很多问题。例如,我们测试了一些常
用的注入软件,如果不识别注入,就不能识别注入,但不能执行命令和注册等问题。
在该网站上找到3个SA权限的检索型注入,在某个检索框中输入单引号后,语法错误就会爆发。
首先,我们尝试了Pangolin穿过山甲和明先生。结果,无法识别该注入点,Havij胡萝卜和JCZ3
.也无法识别该注入点,但无法获得数据库信息、库名、系统命令等。
首先,我们尝试了Pangolin穿过山甲和明先生。结果,无法识别该注入点,Havij胡萝卜和JCZ3
.也无法识别该注入点,但无法获得数据库信息、库名、系统命令等。
Sqlmap能够识别注入点并执行部分系统命令,但在进一步测试中发现以下问题。
1.由于服务器上的ed2k.exe和ed2k1.exe被降级,无法直接添加管理员用户。
2.-os-pwn参数也无法直接获得目标Meterpreter对话,SA密码也SA密码。
3.绝对路径得不到,没想到用dir等命令找到绝对路径。
4.能够得到现在的后台baike、用户名sa,但是因为没有找到后台的地址,所以不想多走这一步。
Sqlmap没有直接上传文件的命令,但是通过-os-cmd参数能够写VBS下载者下载远程控制马或
VBS添加管理者用户的脚本,但是Sqlmap不支持多行内容的写作,因此在此需要使用假号将
所有的脚本内容写在同一行虽然命令已经完成,但是我们的VBS下载者的文件没有写在目标磁
盘上,所以不能多次写上以上的代码。理所当然没问题。因为我的当地测试是OK的Sqlmap似
乎不行,继续试试我们经常使用的阿d注入软件吧阿d注入软件能够识别该注入点,而且在cmd
/上传模块的底部具有上传文件的功能,但在此不能列出目录,在执行部分系统命令时返回的
也是乱码,但在此能够尝试以下两种想法。
VBS添加管理者用户的脚本,但是Sqlmap不支持多行内容的写作,因此在此需要使用假号将
所有的脚本内容写在同一行虽然命令已经完成,但是我们的VBS下载者的文件没有写在目标磁
盘上,所以不能多次写上以上的代码。理所当然没问题。因为我的当地测试是OK的Sqlmap似
乎不行,继续试试我们经常使用的阿d注入软件吧阿d注入软件能够识别该注入点,而且在cmd
/上传模块的底部具有上传文件的功能,但在此不能列出目录,在执行部分系统命令时返回的
也是乱码,但在此能够尝试以下两种想法。
1.利用Echo命令写VBS下载者,执行该脚本失败!
2.利用上传功能上传VBS,追加管理员用户脚本执行成功!
最后,使用d注入软件的上传功能,将VBS追加管理员的用户脚本上传到目标磁盘并成功执行
,进入目标服务器后,管理员拒绝ed2k.exe和ed2k1.exe的everyone权限,因此不能执行ed2k。
,进入目标服务器后,管理员拒绝ed2k.exe和ed2k1.exe的everyone权限,因此不能执行ed2k。