该案例记录了笔者2020年渗透测试的目标网站，当时首先找到了子域名SA权限的检索型注入，

认为能够顺利获得目标服务器的权限，结果在测试中遇到了很多问题。例如，我们测试了一些常

用的注入软件，如果不识别注入，就不能识别注入，但不能执行命令和注册等问题。
 

 

 

在该网站上找到3个SA权限的检索型注入，在某个检索框中输入单引号后，语法错误就会爆发。

首先，我们尝试了Pangolin穿过山甲和明先生。结果，无法识别该注入点，Havij胡萝卜和JCZ3

.也无法识别该注入点，但无法获得数据库信息、库名、系统命令等。


 

Sqlmap能够识别注入点并执行部分系统命令，但在进一步测试中发现以下问题。

 

 

1.由于服务器上的ed2k.exe和ed2k1.exe被降级，无法直接添加管理员用户。
 

2.-os-pwn参数也无法直接获得目标Meterpreter对话，SA密码也SA密码。
 

3.绝对路径得不到，没想到用dir等命令找到绝对路径。
 

4.能够得到现在的后台baike、用户名sa，但是因为没有找到后台的地址，所以不想多走这一步。

 

 

Sqlmap没有直接上传文件的命令，但是通过-os-cmd参数能够写VBS下载者下载远程控制马或

VBS添加管理者用户的脚本，但是Sqlmap不支持多行内容的写作，因此在此需要使用假号将

所有的脚本内容写在同一行虽然命令已经完成，但是我们的VBS下载者的文件没有写在目标磁

盘上，所以不能多次写上以上的代码。理所当然没问题。因为我的当地测试是OK的Sqlmap似

乎不行，继续试试我们经常使用的阿d注入软件吧阿d注入软件能够识别该注入点，而且在cmd

/上传模块的底部具有上传文件的功能，但在此不能列出目录，在执行部分系统命令时返回的

也是乱码，但在此能够尝试以下两种想法。
 

 

1.利用Echo命令写VBS下载者，执行该脚本失败！
 

2.利用上传功能上传VBS，追加管理员用户脚本执行成功！

 

最后，使用d注入软件的上传功能，将VBS追加管理员的用户脚本上传到目标磁盘并成功执行

，进入目标服务器后，管理员拒绝ed2k.exe和ed2k1.exe的everyone权限，因此不能执行ed2k。