文章总结： 文档记录了一次完整的渗透测试过程，攻击者通过发现目标站点SQL注入漏洞，利用FILE权限读取IIS配置文件定位web目录，使用SQLMapos-shell上传CS木马实现上线，最后通过MS17-075漏洞提权至System权限。整个过程展示了从WEB漏洞到内网控制的完整攻击链，包含具体的技术细节和操作步骤。 综合评分： 85 文章分类： 渗透测试,WEB安全,漏洞分析,红队,内网渗透

记一次从SQL注入到CS上线

原创

破阵攻防实验室 破阵攻防实验室

破阵攻防实验室

2026年5月23日 11:20 北京

在小说阅读器读本章

去阅读

免责声明

    由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人承担，破阵攻防实验室及文章作者不承担任何责任。如有侵权烦请告知，我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。

正文

某站点存在SQL注入漏洞

利用查询语法获取所有的表、字段内容，没有可利用的数据

查看操作系统信息，Windows x64系统

检查是否具备FILE权限

具备FILE权限，接下来检查是否存在路径限制

查询语句返回结果为NULL => 没有路径限制

根据响应包中的X-Powered-By字段可知，这应该是一个ASP.NET，而大部分ASP.NET是运行在IIS上的，IIS的全局配置文件 applicationHost.config默认位置在C:\Windows\System32\inetsrv\config\目录下

读取applicationHost.config文件内容

deviceId=1' and updatexml(1,concat(0x7e,(SELECT substring(LOAD_FILE('C:/Windows/System32/inetsrv/config/applicationHost.config'),1,30)),0x7e),1) || '1'='1

根据协议和端口号定位到对于的项目目录

目前可利用信息：拥有FILE权限、已知Web服务目录位置

接下来可利用SQLMap getshell

在VPS中启动CS并生成反向马，然后利用SQLMap os-shell执行命令将目标主机上线到CS

运行反向马

成功上线到CS

非Administrator、System权限

利用MS17-075提权

提权成功~

传统渗透，点到为止，后续操作你们也不爱看，就不展示了，撤了~

如果想要及时了解更多内容，请关注 破阵攻防实验室 微信公众号！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：破阵攻防实验室 破阵攻防实验室 破阵攻防实验室《记一次从SQL注入到CS上线》