实战 | Lower-GetShell

人过留名，雁过留声

摸到一个系统，发现存在sql，仅仅用了后端的一些关键字过滤，摸了一会儿发现可以，字节拼接+空格绕过+LIKE绕过。后来还发现密码就是123456….

直接访问这个地址，就可以获取全校学生身份证 电话号码 学号 姓名（不好打码 没截图）

同时那个登录框直接上sqlmap跑用一些tamper脚本可以跑出来（忘记截图了），心大的管理员还特意为我开了一个xp_cmdshell，DBA权限，sa用户。直接命令执行

可以命令执行，dnslog可以出网，同时查看了tasklist没有任何软杀（点名感谢心大管理员），cs生成64位的poweshell，cs直接上线。mimikatz 跑出来的都是空密码，但是无法登陆，可能是策略设置了禁止控制台空密码登录

添加到管理员组里（建议还是别这样做，动作太大了），再直接用cs开一个socks4的通道到服务器上，之后再用任意代理工具连接上socks4的通道就可以直接连接内网，同时根据之前ipconfig发现三张网卡 两张网卡没有配好都是169的，直接确定目标10.0.0.33，再次感谢管理员他还帮我开了3389。

wmic RDTOGGLE WHERE 
ServerName=”%COMPUTERNAME%” call SetAllowTSConnections 1
复制

利用添加的账号密码 成功登陆远程桌面