开局一个静态页，但有一个我要查功能，连接了好多分站，分站测试无果，发现下面有更多功能，柳暗花明，点开又发现众多分站，逐个测试。
| XX系统 | Xx查询 | XX系统 |
| --- | --- | --- |
| XX系统 | Xx查询 | XX系统 |
| XX系统 | Xx查询 | 更多功能 |

更多功能中发现被测站点，链接过去后主页类似下图

| XX在线管理 | XX查询 |
| --- | --- |

Xx在线管理，肯定是首先用你下手，点进去发现只有用户名，密码，无人机交互验证，各种爆破，无果。这时底下几个大字提醒了我
![1|325x329](upload://lROzUsdV1XhWMzZnesTFF1qB8iE.png)
点进去后弹框提示，用户名为单位的汉字全称，例如【XX公司】。密码可以使用系统的默认密码！忘记密码请联系技术支持
![2|575x194](upload://mxLPyd3udfOLRImx2qdA12IR4cC.png)
系统默认密码，肯定不会太难，无非就是123456，888888这种
使用提示用户名加简单密码，成功登录。
登录后就是找到了几个上传点，逐个测试，各种绕过，无果。
转到修改密码处，尝试输入错误原密码，发现如下提示。
![6bfd9c15-e6c0-49c7-9333-858a9dd15127.003|546x98](upload://3be2Ghl55UBxolEsws68KLVT5Wz.png)
抓包，并把原密码打\*，放到sql里面跑。
![4|690x170](upload://cdd2xFXAx38WUYazkwUA0ly1uJS.png)
有结果！但是延时注入，直接尝试os-shell，等很久跑出sqlserver路径，但太慢了，加上有waf，导致结果很不准，到这，起码证明了有sql注入漏洞。
![5|690x178](upload://1fElW3SmX6OBGpuduU5f7rwOeUO.png)
但要进一步利用，传shell，需要知道网站物理路径，使用系统的各种报错，都无法爆出物理路径。
![6|687x500](upload://i8tR2w5etLYniIRSgzR4X8QuLPB.png)
通过os-shell逐个目录cd、dir，估计等找到，管理员早就发现了，很难过。

又回到最初的起点，但既然这个站有注入，与他一起的另一个XX查询，会不会也有注入，抓包，sqlmap跑，如愿以偿。
| XX在线管理 | XX查询 |
| --- | --- |
而且这次还有union注入，舒服了。
![7|690x245](upload://j8bHBkqxdZaKwFFPDxLGgc0NzCG.png)
想着通过union注入翻网站跟目录，直接传shell一把梭哈。
但是！dir路径发现他这个路径名全是中文，导致sql无法读取，这就很难受了，可能是编码问题，有知道的大佬求赐教，dir出来有这个目录，但是没法继续dir了，英文文件名就没有问题，中文就不行，后期冰蝎马连上后也有这个问题。
![8|690x91](upload://qDMMxg0po7lkldJ3bRtw0uiZiDE.png)
网上查找各种方法，无果，后来想到有个tree命令可以列出所有文件夹，类似下图这种，也算个笨方法，就这样等了很久，把所有盘所有文件夹都列出来了。
![9|563x298](upload://7LJNAeuJDkbkYr8UXWhsqOg6cXi.png)
但是想用sqlmap上传文件发现，有路径中有中文还是无法上传，脑袋疼。
祭出第二款神器超级SQL注入工具，发现只能识别出盲注，可能是我不太会用。
![10|566x499](upload://vMXrXGOGOAiNRQoMeicpmjFn0pK.png)
通过url找文件夹名，上传txt，访问，最终确认了网站根目录，类似这种D:\XX管理系统\web\查询\，直接上传冰蝎马，成功连接。
ipconfig发现只有内网网卡。
netstat -ano发现目标开放3389端口，但从外网环境无法访问。
whoami发现是管理员权限，添加账号，加到管理员组。
但是！冰蝎也无法正常读取中文？估计是网站编码有些问题。
![11|690x32](upload://xuIa37E654hp0ojHXuUmkctPzhE.png)
只能通过超级SQL注入工具上传reGeorg木马，讲内网环境带出来，通过代理访问本机ip3389，使用添加的账户成功登录。
因为客户说内网不让继续渗透了，所以渗透到此为止。