SQL注入打入内网渗透实战教学文档

前言

本文记录了一次通过SQL注入漏洞打入内网的完整渗透过程，重点介绍了在获得SQL注入点后如何利用os-shell功能寻找网站绝对路径、写入Webshell以及后续的内网渗透操作。

前提条件

1. 存在SQL注入漏洞
2. 注入点可以使用os-shell功能
3. 当前数据库用户具有DBA权限

第一阶段：寻找网站绝对路径

1. 查看系统盘符

首先使用以下命令查看目标系统有哪些盘符：

fsutil fsinfo drives

2. 通过特征文件定位网站路径

选择网站上的一个特征文件（如图片、JS文件等），这里以loginbg.jpg为例：

在C盘搜索：

dir /a /s /b C:\ | findstr "loginbg.jpg" >111.txt
type 111.txt

如果C盘没有找到，继续在D盘搜索：

dir /a /s /b D:\ | findstr "loginbg.jpg" >111.txt
type 111.txt

3. 确定网站根目录

通过搜索结果确定网站根目录位置，例如：

D:\xxx\Content\image

第二阶段：写入Webshell

1. 准备冰蝎Webshell

将冰蝎Webshell进行Base64编码，并分成多段传输（这里分为4段）。

2. 写入并解码Webshell

使用certutil工具解码Base64编码的Webshell：

certutil -decode D:\xxx\Content\images\Test.txt D:\xxx\Content\images\text2.aspx

参数说明：

• 第一个参数：包含Base64编码的临时文件路径
• 第二个参数：最终生成的Webshell路径（必须在网站目录下）

3. 验证Webshell

访问写入的Webshell路径（如http://target.com/images/text2.aspx），确认连接成功。

4. 连接冰蝎

使用冰蝎客户端连接Webshell，建立持久化控制。

第三阶段：内网渗透

1. 横向移动准备

上传免杀马并上线Cobalt Strike（CS）。

2. 内网扫描

扫描内网网段，发现以下服务：

• Nacos服务
• 海康威视设备

3. 利用Nacos弱口令

发现Nacos存在弱口令，通过它读取数据库密码，直接连接内网数据库。

4. 利用海康威视漏洞

发现内网存在海康威视设备，利用文件上传漏洞上传Webshell，上线CS。

关键点总结

1. 路径查找技巧：通过特征文件定位网站绝对路径是成功写入Webshell的关键
2. 分段传输：大文件或敏感内容可以分段传输避免被拦截
3. certutil利用：Windows自带工具certutil可用于Base64解码，避免上传额外工具
4. 内网信息收集：发现Nacos、海康威视等常见服务要重点检查
5. 弱口令利用：内网服务常存在弱口令问题

防御建议

1. 修复SQL注入漏洞
2. 数据库用户权限最小化
3. 监控异常文件创建操作
4. 内网服务使用强密码
5. 及时更新设备固件，修补已知漏洞

通过以上步骤，攻击者可以从一个SQL注入点逐步深入，最终控制内网多个关键系统。防御方应重视每一个看似微小的漏洞，因为它们可能成为内网沦陷的入口。