0x00 前言

前两天挖某SRC，一个IP的C段意外指向某卫生人才网，正好SRC没突破，遂起杀心。本文遇到的注入比较多，注入小白，大佬们轻喷~

0x01 信息收集 ✌️

首先子域、目录一通扫描，好家伙，3秒直接封IP！

换个IP，直接进入愉快的手工信息收集时刻，

查看robots.txt，发现禁用了几个路径：

查看web.config文件，居然还真有：

获取到index.php，尝试访问，发现和主页界面没有区别，加个二级目录admin试试，我直接好家伙，tp3，这注入不就来了嘛～

直接上exp注入测试：

https://www.test.com/index.php?username[0]=exp&username[1]==1%20and%20updatexml(1,concat(0x7e,user(),0x7e),1)

然而啥都没有，又尝试了where注入，也没成功。感觉做了修复或者过滤了东西，先放一边继续收集：

找了其他的一些点，没什么收获，开始找真实IP，多点ping格外的顺利，直接没有CDN什么云的：ip

nmap扫一下开放端口：

nmap -p 1-65535 -T4 -A -v -Pn [ip]

使用fofa探测IP及其相邻C段IP开放的相关web服务，一番东查西找，发现一个看起来比较老的站：

0x02 SQL注入yyds

手工测试发现输入什么都返回正常，这个站点又这么老，猜测存在布尔类型的注入：

直接上sqlmap测试，存在sql注入漏洞：

问题又来了，延时和报错都是一个字符一个字符判断，网站搭建又是asp，按照以往经验asp的权限一般很小，查看is-dba果然false：

不是DBA的sql注入就没有灵魂了，要么跑出账号密码进后台看看上传，但这延时注入一个字符一个字符看着也太揪心了。转换突破口期间遇到了泛微云桥、天融信VPN，不过都没找到突破：

兜兜转转之后找到一个aspx的站点，瞬间感觉机会来了权限还很高：

http://ip:2626/login.aspx 

这个站和sql注入是真有缘，手工确认之后直接上sqlmap

加上它是aspx的站点，权限是管理权限基本没跑了，而且mssql版本还是2000，主机权限system也肯定了，这波血赚：

成果图，已提交某SRC，点到为止：后续如果需要深入，基本就是windows证书certutil下载脚本，找个合适的目录上线cs就可以了。

0x03 课后小总结

插曲一下关于MSSQL数据库注入的一些常规思路

1. MSSQL2005是一个分水岭，05以下的权限是system，以上的就不是system了，有各种各样的权限，IIS、network service都见得多。

2. sqlmap中直接使用os-shell基本是可行的，前提是xp_cmdshell可以正常调用。sqlmap在MSSQL中的os-shell是在数据库中建立表，写入执行命令的脚本，但是如果xp_cmdshell被禁用、删除无法恢复等，就需要找到网站的绝对路径，配合sp_oacreate写shell，感觉本质就是vbs文件的利用。

3. 关于备份getshell中的差异和log，自己也没有研究很多，写不出来合适的东西。以上。