前言

前段时间参加了一场攻防演练，使用常规漏洞尝试未果后，想到不少师傅分享过从JS中寻找突破的文章，于是硬着头皮刚起了JS，最终打开了内网入口获取了靶标权限和个人信息。在此分享一下过程。

声明：本次演练中，所有测试设备均由主办方提供，所有流量均有留档可审计，所有操作均在授权下完成，所有数据在结束后均已安全销毁。

通过JS打点

开局只有一个登录页面，无法枚举用户名并且尝试爆破未果。

利用bp抓包查看JS相关文件发现存在sql语句

跟踪comboxsql变量，发现定义了一个action类

搜索这个action类路径，发现访问方式是通过url拼接

将该路径进行拼接，并将参数输入sql语句，测试发现该数据库为mssql数据库，可通过xp_cmdshell来执行系统命令。

shellcodeloader上线CS

执行system权限后，打算直接使用远程下载上线免杀cs，但是未上线成功，查看进程发现有360企业云，触发拦截了执行exe行为。

换种思路，通过下载哥斯拉webshell后，利用哥斯拉的shellcodeloader功能，加载自己CS木马的shellcode可上线成功。

解密数据库配置信息

因执行任何exe文件时，均提示拒绝访问，无法进行文件的运行，通过搜索本机配置文件发现了数据库的账号密码，但是数据库密码加密了

通过查找历史网站备份文件，发现的该系统早期配置文件并未做数据库密码加密配置，测试发现可以连接数据库。

另外查找本系统数据库备份文件时，意外发现了该服务器部署的另一套业务系统，并且数据库配置文件中的账号、密码和数据库ip同样也为加密存储。

通过查找该系统特征发现为SiteServer CMS系统。从网上搜索发现了该cms的专用加解密工具SiteServer CLI

运行后也可获取数据库明文配置信息

Server=x.x.x.x;Uid=sa;Pwd=xxCSth