首先发现一个前台登陆框注入
直接丢sqlmap跑,得到如下信息:
web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET, Microsoft IIS 7.5, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2008
sa权限,支持堆叠查询
起初以为一切就是那么顺理成章,很轻松就可以拿下,结果却是一波三折,
我简单描述下情况吧,主站后台没找到,然后子站有个PHP的,但是我这个注入点是mssql的,根本查不到那个PHP后台的密码,而且mssql数据库很多,反正各种乱七八糟的,还发现一个OA和一个最新版的致远A8,致远A8到是找到数据库了,但是怎么重置密码都登陆不上,而且感觉哪怕登上也拿不下shell,也就放弃了,想找OA的密码,但是数据库翻遍了都没找到。
在说下xp_cmdshell吧,执行无回显,测试没执行成功,然后查密码,sa密码解不了,但是有一个sa权限的r00t的账号,密码倒是简单,通过这个账号,成功远程登录上mssql,尝试执行xp_cmdshell提示权限不足,后来发现服务器有360...
无法使用xp_cmdshell,又进不了后台,有些老火了。
转折点呢,是xp_dirtree利用xp_dirtree成功查到目录
在用sqlmap的--file-read读取到root密码
并登录上了通过xp_dirtree翻到的phpmyadmin,(其实我尝试过sqlmap自带上传的,但是均失败。)
通过phpmyadmin尝试过导出和日志写shell,都失败,phpmyadmin还有别的拿shell方式,这里就没进一步尝试了,最后查到PHP的后台密码,通过后台成功拿下shell
本文作者为Mr.Wu,转载请注明,尊守博主劳动成果!
由于经常折腾代码,可能会导致个别文章内容显示错位或者别的 BUG 影响阅读; 如发现请在该文章下留言告知于我,thank you !
