HW行动渗透测试实战教学：从SQL注入到权限提升<\/h1>

1. 目标识别与初步探测<\/h2>

1.1 目标系统分析<\/h3>
目标系统：智慧校园管理系统<\/li>
发现功能点：
多身份登录选择（学生\/教师\/管理员等）<\/li>
学生登录时可选择年级<\/li> <\/ul> <\/li> <\/ul>
1.2 漏洞探测方法<\/h3>
使用Burp Suite拦截请求<\/li>
观察服务器响应年级数据的交互过程<\/li>
尝试在年级参数中添加单引号(
'<\/code>)测试SQL注入<\/li>
<\/ol>
2. SQL注入利用<\/h2>
2.1 确认漏洞存在<\/h3>

添加单引号后系统返回数据库错误，确认存在SQL注入漏洞<\/li>
网站无WAF防护，可直接使用自动化工具<\/li>
<\/ul>
2.2 使用SQLMap进行利用<\/h3>
sqlmap -u "目标URL"<\/span> --data=<\/span>"参数"<\/span> --level=<\/span>3<\/span> --risk=<\/span>3<\/span> --batch
<\/span><\/span><\/code><\/pre>
成功获取管理员账号凭据<\/li>
获取os-shell权限<\/li>
<\/ul>
3. 权限维持与绕过限制<\/h2>
3.1 尝试获取WebShell的障碍<\/h3>

Web目录未知<\/strong>：目录包含中文字符导致os-shell无法正常列出<\/li>
杀软拦截<\/strong>：PowerShell反弹被赛门铁克杀毒软件阻止<\/li>
<\/ol>
3.2 后台文件上传利用<\/h3>

使用获取的管理员凭据登录后台<\/li>
发现文件上传功能<\/li>
绕过前端检测上传ASPX文件：

修改请求包绕过前端验证<\/li>
上传成功但返回500错误<\/li>
文件实际已上传但无法执行（IIS权限限制）<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 绕过IIS限制的两种方法<\/h3>


方法一：上传web.config增加执行权限<\/strong><\/p>
<configuration><\/span>
<\/span><\/span>  <system.webServer><\/span>
<\/span><\/span>    <handlers><\/span>
<\/span><\/span>      <add<\/span> name=<\/span>"ASPClassic"<\/span> path=<\/span>"*.asp"<\/span> verb=<\/span>"*"<\/span> modules=<\/span>"IsapiModule"<\/span> scriptProcessor=<\/span>"%windir%\system32\inetsrv\asp.dll"<\/span> resourceType=<\/span>"File"<\/span> \/><\/span>
<\/span><\/span>    <\/handlers><\/span>
<\/span><\/span>  <\/system.webServer><\/span>
<\/span><\/span><\/configuration><\/span>
<\/span><\/span><\/code><\/pre>
上传后出现未编译错误（系统使用预编译源码）<\/li>
<\/ul>
<\/li>

方法二：上传ASP文件<\/strong><\/p>

成功上传并解析ASP WebShell<\/li>
使用蚁剑连接获取交互式Shell<\/li>
<\/ul>
<\/li>
<\/ol>
4. 横向移动与C2控制<\/h2>
4.1 环境侦察<\/h3>

tasklist<\/code>查看运行进程，确认存在赛门铁克杀毒软件<\/li>
systeminfo<\/code>查看系统补丁情况<\/li>
<\/ul>
4.2 Cobalt Strike配置与免杀<\/h3>


SSL证书配置<\/strong>：<\/p>
openssl pkcs12 -export -in fullchain.pem -inkey key.pem -out stao.p12 -name stao.site -passout pass:mypass
<\/span><\/span>keytool -importkeystore -deststorepass mypass -destkeypass mypass -destkeystore stao.store -srckeystore stao.p12 -srcstoretype PKCS12 -srcstorepass mypass -alias stao.site
<\/span><\/span><\/code><\/pre><\/li>

使用Malleable C2 Profile<\/strong>：<\/p>

使用jquery-c2.4.0.profile模板<\/li>
修改SSL证书配置指向生成的证书<\/li>
使用c2lint验证profile有效性<\/li>
<\/ul>
<\/li>

启动Teamserver<\/strong>：<\/p>
nohup .\/teamserver x.x.x.x password c2.profile &
<\/span><\/span><\/code><\/pre><\/li>

生成并免杀Payload<\/strong>：<\/p>

生成C#格式的HTTPS Beacon<\/li>
使用AVlator进行简单免杀处理<\/li>
通过蚁剑上传并执行<\/li>
<\/ul>
<\/li>
<\/ol>
5. 权限提升<\/h2>
5.1 补丁分析<\/h3>

使用在线工具对比缺失补丁（如https:\/\/bugs.hacking8.com\/tiquan\/）<\/li>
发现MS16-075(烂土豆)漏洞可利用<\/li>
<\/ul>
5.2 提权执行<\/h3>

成功利用MS16-075获取SYSTEM权限<\/li>
进行内网侦察未发现更有价值目标<\/li>
<\/ul>
6. 关键知识点总结<\/h2>


SQL注入利用链<\/strong>：<\/p>

参数探测 → 错误确认 → SQLMap自动化利用 → 获取os-shell<\/li>
<\/ul>
<\/li>

权限维持技巧<\/strong>：<\/p>

文件上传绕过前端检测<\/li>
IIS权限限制的两种绕过方法<\/li>
ASP与ASPX在预编译环境中的差异<\/li>
<\/ul>
<\/li>

C2隐蔽通信<\/strong>：<\/p>

合法证书加密流量绕过杀软检测<\/li>
Malleable C2 Profile定制化<\/li>
Payload免杀处理<\/li>
<\/ul>
<\/li>

提权方法论<\/strong>：<\/p>

补丁对比分析<\/li>
已知漏洞利用(如MS16-075)<\/li>
<\/ul>
<\/li>
<\/ol>
7. 防御建议<\/h2>


SQL注入防护<\/strong>：<\/p>

使用参数化查询<\/li>
部署WAF<\/li>
<\/ul>
<\/li>

文件上传安全<\/strong>：<\/p>

前后端完整校验<\/li>
限制上传文件类型<\/li>
设置不可执行权限<\/li>
<\/ul>
<\/li>

杀毒与监控<\/strong>：<\/p>

监控异常进程创建<\/li>
检测异常网络连接<\/li>
更新杀毒软件规则<\/li>
<\/ul>
<\/li>

系统加固<\/strong>：<\/p>

及时安装安全补丁<\/li>
最小权限原则<\/li>
禁用不必要的系统组件<\/li>
<\/ul>
<\/li>
<\/ol>