sqlmap结合后门工具webacoo获取dvwa控制权shell
一、通过sqlmap的–os-shell给dvwa上传后门文件,并获取os-shell。
通过sqlmap上传了后门文件tmpulkdf.php。
通过http://10.10.10.129:80/dvwa/tmpulkdf.php可以打开文件上传界面,可上传后门文件如一句话木马。可自主选择途径,该处选择了/var/www/dvwa/hackable/uploads
注意os-shell的执行条件有三个
(1)网站目前使用用户必须是root权限
(2)扫描或其他方法获得网站的绝对路径
(3)GPC为off,php主动转义的功能关闭
二、查看当前获取的数据库的权限
(1)通过python sqlmap.py -u
‘http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=admin&Submit=Submit’ --cookie=‘security=low; PHPSESSID=9pkugvc3h1m8t3nkqeuk264ml1’ --current-db
查看当前的数据库名:
(2)通过python sqlmap.py -u
‘http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=admin&Submit=Submit’ --cookie=‘security=low; PHPSESSID=9pkugvc3h1m8t3nkqeuk264ml1’ --current-user查看当前的数据库用户:
(3)通过python sqlmap.py -u
‘http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=admin&Submit=Submit’ --cookie=‘security=low; PHPSESSID=9pkugvc3h1m8t3nkqeuk264ml1’ --is-dba查
看当前用户是否管理员用户(dba):
通过上述的操作当前用户并不是管理员用户,不能对文件夹进行写权限,不能上传后门文件,不能获取os-shell:
三、对目标网站dvwa进行修改
(1)修改dvwa用户,即修改dvwa中config.inc.php文件
将用户名改为root,密码改为对应root的密码,保存退出,并重启mysql。
(2)在攻击机kali找到之前进行sqlmap后的文件
并删除,如果不删除再次进行sqlmap时,得到的结果是之前的结果。
(3)重复二、中的步骤后查看到当前用户,得到当前用户为root@localhost,并且是dba(管理员)权限:
到此本以为可以进行–os-shell,上传文件成功,但是发现还是写文件权限问题,上传失败。
(4)经查阅发现是数据库用户在要上传的文件目录/var/www/dvwa没有写权限,进入目标机dvwa修改/var/www/dvwa的权限
修改权限后数据库用户root可对/var/www/dvwa/进行写文件操作,再重复一的步骤即可上传后门文件tmpulkdf.php,并获取os-shell。并获取一个可以上传文件的后门。
四、通过web后门脚本工具webacoo获取
webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。
webacoo(web backdoor cookie)是一个web后门脚本工具包,旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo的精妙之处在于,Web服务器和客户端之间的通信载体是Cookie。这就意味着多数的杀毒软件、网络入侵检测/防御系统、网络防火墙和应用程序防火墙都无法检测到后门的存在。
(1)kali中如果没有webacoo工具,可通过apt-get install webacoo下载获取。
(2)通过webacoo -h查看webacoo查看参数指令。
(3)生成服务器端
通过上面的后门链接http://10.10.10.129/dvwa/tmpusqgr.php上传该后门文件:
(4)上传后用客户端进行连接,获取控制权:
(5)可以看到,我们进入了一个webacoo终端,这里有一点需要注意,执行命令时要在前面加上一个冒号(😃,这样才可以获取root权限,并且在靶机上执行系统命令了,如whoami和uname等。
如果没加冒号(:),则仅为目前文件夹/var/www/dvwa/hackable/uploads的权限和文件目录:
2879
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
