首先进入主页是这个样子

F12 没找到啥接口。爆破也没出来。注入也无。。。。陷入僵局

然后继续翻 IP。搜到一个人力资源管理系统

F12 有惊喜。这里背景图片居然是 download + id

然后顺势遍历一波 ID。TM居然拿到了全校老师的账号密码？？？？？

拿到账号密码。回去科研管理系统登陆一波

所有功能都点一遍。熟悉下环境

看这 URL。。有点熟悉。这套系统还是 Asp 的。。后端应该就是 IIS + Asp + SqlServer

熟悉了下语句。后端应该是

上语句。看看能不能报错注入

成功带出数据

然后就查当前用户(dbo)，查库查表

碰到 mssql。那必得试一波 XP_CMDSHELL 😏

没回显

用 dnslog 验证下

发现 dnslog 能收到请求

然后继续搜文件。发现可以创建数据表。把 xp_cmdshell 的执行结果写入数据表

这个 web。只能输出一条结果。而 Mssql 又没有 limit 1,1 这种具体读第 N条 数据的语句。只有 TOP 2。返回两条数据，所以我们要通过 id 查询

Mssql 的 xp_cmdshell 执行时。会把 \n 单独一行。。所以这里用 ID 具体查询

执行下 whoami。发现是 System 权限。那么直接写个 webshell

之前用 certutil 请求 VPS。没收到。DNS也迷惑。感觉是不出网。学生网段和服务器网段也不能直通。。只想到写 shell 了

首先 dir c:\ D:\ e:\，发现 e:\科研管理系统 感觉就是 web 目录。然而。。各种奇奇怪怪的编码问题。

这里一开始用的是

然后就可以列出 e:\ 所有目录。一个个慢慢找咯

虽然找到了 Web 目录。我还是解决不了这个编码问题。进都进不去。那咋写 shell

正解：

URL 输入的是 UTF-8。服务端却是 GBK。所以需要转一下。解密后 URL 编码传入。这里感谢 123qwer 大师傅的指点

然后继续找啊找。发现了 web 目录

然后写 shell 又被恶心到了

xp_cmdshell 的单引号不解析我的 URL 编码,但是双引号解析？？？？这我记得是浏览器会自动解析的啊。。

然后 asp 一句话又有单引号。尖括号特殊字符

这我直接自闭。整了半天。要么就是直接报错。要么就是写入的文件没引号了

最后想到看过的一篇文章。利用 certutil 转码写入文件

直接用 base64 解码写入了。省去了很多烦恼

当我访问时。却是 500 ？？然后尝试用菜刀链接了下。居然可以连。。

之后就随便整了。Server2008 补丁很少。可以用 exp 直接提权。或者 xp_cmdshell 是 system 权限。传个 bind msf 马。xp_cmdshell 执行下我们去连就拿到 system 了

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9.1破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注