mysql osshell_sqlmap --os-shell原理

最新推荐文章于 2024-05-17 08:10:56 发布
最新推荐文章于 2024-05-17 08:10:56 发布
阅读量933 收藏 6
点赞数
文章标签: mysql osshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39833763/article/details/113515025
版权

前言

当数据库为MySQL,PostgreSQL或Microsoft SQL Server,并且当前用户有权限使用特定的函数。

在mysql、PostgreSQL,sqlmap上传一个二进制库,包含用户自定义的函数,sys_exec()和sys_eval()。那么他创建的这两个函数可以执行系统命令。

在Microsoft SQL Server,sqlmap将会使用xp_cmdshell存储过程,如果被禁(在Microsoft SQL Server 2005及以上版本默认禁制),sqlmap会重新启用它,如果不存在,会自动创建

接下来我会通过注入、SQLSERVER数据库、Mysql数据库进行介绍os shell原理。

注入

必要条件:

拥有网站的写入权限

Secure_file_priv参数为空或者为指定路径。

普通注入--os-shell主要是通过上传一个sqlmap的马,然后通过马来进行命令执行。

测试环境:

操作系统: Microsoft Windows Server 2012 Standard

数据库:Mysql 5.1.60

脚本语言:PHP 5.4.45

Web容器:Apache 2.4.39

利用sqlmap进行注入检测。

530243d19a3f2970826dacc15a1e6862.png

然后执行--os-shell。

9f0ea5500112874b96f34674b6bb5844.png

这个时候sqlmap主要做了三件事情:

1、进行目标的一个基础信息的探测。

2、上传shell到目标web网站上。

3、退出时删除shell。

wireshark捕获数据包,只查看http数据包。

f0b59cfd8650f037abd7a6fe581bf54f.png

1、sqlmap上传一个上传功能的马。

e6fa053724ea67a6bd37066d64317268.png

0e13e4f5ddb99fec9050812f2effa248.png

eff7937106195935b68fc6782c2adb5a.png

追踪http流可以看到内容被url编码了,解开后可以看到是通过into outfile进行文件的写入。

马的内容进行了16进制编码,解开后查看代码就可以发现是一个上传功能的马。

2、通过上传的马进行shell的上传。

24f81dff069bd0efa7632425748caf04.png

追踪http流可以看到body为shell的内容。

3、shell传参进行命令执行。

557eda91b208df0ee8478695f70dbfad.png

4、删除shell。

becc1fb9f3340c22aa812cfa3fd39495.png

执行命令删除shell。

Database

数据库支持外连,通过Sqlmap执行--os-shell获取shell。

Sqlserver

必要条件:

数据库支持外连

数据库权限为SA权限

Sqlserver --os-shell主要是利用xp_cmdshell扩展进行命令执行。

测试环境:

操作系统:Microsoft Windows Server 2016 Datacenter

数据库:Microsoft SQL Server 2008

利用Sqlmap进行数据库连接。

sqlmap -d "mssql://uset:password@ip:port/dbname"

fdf2a6d647cf7d40d5b9e5e5a45998ea.png

sqlmap默认不自带pymssql,需要手动下载。

执行命令python -m pip install pymssql下载,然后连接成功。

60d0a130ed5617673a06e09f75c22aba.png

执行--os-shell。

3fca47939e3f182789a2f61ccefbb772.png

这个时候sqlmap主要做了三件事情:

1、识别当前数据库类型,然后打印出来。

2、检测是否为数据库dba,也就是查看是否为sa权限。

3、检测是否开启了xp_cmdshell,如果没有开启sqlmap就会尝试开启。

这个地方Sqlmap未能成功开启xp_cmdshell。

执行--sql-shell手动开启。

手动开启语句:

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE;

EXEC sp_configure 'xp_cmdshell', 1;

RECONFIGURE;

e1965385e4cd81f570f61cd7f3e5cd3c.png

在执行RECONFIGURE;时sqlmap报语法错误。

写一个python脚本调用下载的pymssql模块进行排错。

可以执行select @@version;命令

4aab63a8dd3f0f48dba4d82a81c04ecd.png

执行RECONFIGURE;命令的时候的报错和sqlshell执行时的报错一样。

0b805ccb81673f478efddcd785b74d20.png

由于sqlmap调用的是pymssql模块进行数据库的链接,所以这个地方要开启xp_cmshell,就必须利用其他工具进行开启。利用navicat进行数据库连接。

af95c49117343f1311aa14627aec26f4.png

然后执行命令开启xp_cmdshell。

c2a47d32ddddf7be636c430bc6d539f5.png

开启后,可以在navicat里面执行命令,或者sqlmap使用--os-shell进行命令执行。

ca3b3280333ab2e6dba37568c9e254ef.png

51d7b7c13a77bc38bc7fc0e27eabd168.png

若从一开始就使用navicat或其他工具进行数据库链接的话,就需要手动查看是否为dba,是否开启了xp_cmdshell扩展进程。

select IS_SRVROLEMEMBER('sysadmin')

查看是否为SA

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell';

查看是否存在xp_cmdshell扩展进程,显示1为存在。

查询完毕后,和上面的操作依葫芦画瓢就行了。

wireshark捕获数据包,追踪TCP流。

5ee6e1cc2b94e35634ae732d13889879.png

我将代码复制到文本中,替换掉.。

35d94dc38e9284f7759df2076d94f8a7.png

sqlmap会在执行我们输入的命令之前执行ping -n 10 127.0.0.1和echo 1,也就是①②,③开始就是我们输入的命令,这里命令都被进行16进制编码了。

Mysql

数据库支持外连

Secure_file_priv参数为空或者为指定路径。

对mysql目录存在写入权限。

针对版本大于5.1,需要存在/lib/plugin目录。

Mysql --os-shell主要利用的原理是通过udf执行命令,在Mysql Udf提权这一篇文章中我讲得比较详细了,可以去看看。

测试环境:

操作系统:Microsoft Windows Server 2012 Standard

数据库:Mysql 5.1.60

利用Sqlmap进行数据库连接。

c86cb3fc13f59b9c8754da0801fe8885.png

安装pymysql后再次进行连接,连接后会显示数据库大概的版本。

059bb1736ed4632a3aa96f34df22591c.png

执行sqlmap -d --os-shell。

11d6c0137fbfdbf5f5bda94cf2aeba61.png

这个时候sqlmap主要做了五件事情:

1、连接Mysql数据库并且获取数据库版本。

2、检测是否为数据库dba。

3、检测sys_exec和sys_eval2个函数是否已经被创建了。

4、上传dll文件到对应目录。

5、用户退出时默认删除创建的sys_exec和sys_eval2个函数。

wireshark捕获数据包,追踪TCP流。

这里我就直接贴@xz老锥的图,他分析的很详细。

82e49c87330ed953b11a63b24d83f51b.png

写在最后

本文若有差错,请务必斧正

weixin_39833763
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql执行shell命令_sqlmap --os-shell原理
weixin_39960793的博客
11-24 2946
前言当数据库为MySQL,PostgreSQL或Microsoft SQL Server,并且当前用户有权限使用特定的函数。在mysql、PostgreSQL,sqlmap上传一个二进制库,包含用户自定义的函数,sys_exec()和sys_eval()。那么他创建的这两个函数可以执行系统命令。在Microsoft SQL Server,sqlmap将会使用xp_cmdshell存储过程,如果被禁...
sqlmap mysql shell,sqlmap --os-shell执行原理mysql篇)
weixin_34965737的博客
03-27 1342
sqlmap --os-shell执行原理对于mysql数据库来说,--os-shell的本质就是写入两个shell文件,其中的一个可以让我们用来执行命令,而另外一个,如果在网站访问的话,可以让我们可以上传文件。说到写入shell,就要说一下两个限制条件,首先,我们需要知道上传文件的两个限制条件,首先我们要知道网站的绝对路径(我们的shell写入到哪里),然后要有导入导出的权限。导入导出的权限在m...
sqlmap 如何 --os-shell 及反弹shell_sqlmap跑shell(1)
最新发布
2401_84281594的博客
05-17 624
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
--os-shellMySQL可运行环境
m0_56214376的博客
05-24 643
发现一个网站有SQL注入,用SQLmap --OS-shell 连接不上,查了点资料,记录一下。 先说说--os-shell,--os-shell就是在你注入点写入两个shell文件,一个用来执行命令,另外一个是网站访问可以上传文件。 我查了一下,在<=MySQL5.7的版本需要开启一下secure_file_priv 这个参数用来限制数据导入和导出操作的效果, 如果这个参数设为一个目录名,MySQL服务只允许在这个目录中执行文件的导入和导出操作。这个目录必须存在,MySQL服务不会创...
sqlmap os-shell原理
信安路上……
12-04 2629
sqlmap os-shell原理 0x01 流程 i. 简单判断 从截图显示中,可以看到有以下几步 1、选择 web 应用语言 2、发现(提供)一个可写的绝对路径 3、顺序(不同方法)上传tmpujout.php、tmpbvwsp.php两个文件 ii. 流量分析 主要的http流量有 4 条,第 2 条根据@@version_compile_os首字母判断操作系统,第 4 ...
mysql osshell_sqlmap os-shell探索
weixin_42529366的博客
02-07 505
1 条件网站的绝对路径mysql进程有网站绝对路径的写权限mysql用户为rootmysql允许写[secure_file_priv]GPC关闭2 过程dvwa-low-sqli为例sqlmap -u "http://ip/vulnerabilities/sqli/?id=111&Submit=Submit#" --cookie='PHPSESSID=t875bj3h4imdvhk7vce...
sqlmap-1.6.5-11_sqlmap-1.6.5-11
09-20
sqlmap-1.6.5-11 sql注入工具
sql注入扫描_sqlmap-1.1.3.zip
02-13
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了。现在支持python3了
ibatis-sqlmap-2.3.4.741-sources.zip_4 3 2 1_ibatis-sqlm_ibatis-s
09-23
对ibatis-2.3.4.726的改进 1. 物理分页功能,支持cache 2. 读写分离 3. 添加数据库方言,透明支持多种数据库
sqlmap-1.4.5.zip
05-22
sqlmap-1.4.5,亲爱的朋友,SQLMAP是自动化的SQL注入和数据库接管工具,是开源的渗透测试工具,它能自动检测和利用SQL注入漏洞并接管数据库服务器。它配备了强大的检测引擎、最终渗透测试器的许多利基特性和广泛的...
sqlmap-master
01-04
sqlmap-master
mysql osshell_sqlmap os shell解析
weixin_33990147的博客
01-28 643
0x00 Background最近遇到测试环境,最后利用sqlmap的--os-shell参数取得shell。一直以来,对这个参数的工作原理不是十分的清晰。大致的思想应该是将脚本插入到数据库中,然后生成相应的代码文件,获取shell即可执行命令。0x01 Environment本环境是在局域网下利用两台主机搭建的,环境比较真实。攻击机:系统:windows7工具:sqlmap靶机:系统:windo...
mysql-shell的安装和使用
weixin_30867015的博客
03-27 286
mysql-shell是一个高级的mysql命令行工具、它直接两种模式(交互式&批处理式)三种语言(javascript\python\sql) 1、下载地址 https://dev.mysql.com/downloads/shell/ 2、安装 安装方法就比较简单了,下载一个linux-general版本的解压就行 mysql-shell-1.0.8-rc-linux...
mysql的一些shell命令
码农界的小学生
03-21 981
连接mysqlmysql -u用户名 -p密码 创建数据库: create database 名称; 查看数据库中表:show tables; create table… insert into select from… 查看表结构: desc 表名...
安全渗透测试--sql注入之sql-shell
种豆农夫的技术备忘录
08-11 4601
mysql 找到含有password字段的表 select table_name,column_name from information_schema.columns where column_name like '%pwd%' or column_name like '%pass%' 找到含有特定字符串的表名 select table_name from information_schem...
sqlmap 使用os-shell的必要条件
a519470764的专栏
06-13 8749
转载自:https://www.cnblogs.com/lcamry/p/5505110.htmlos-shell的使用通过上述的分析,我们知道了sqlmap os-shell参数的用法以及原理。很多的人会对os-shell的使用进行吐槽,这是得要多大的权限才能执行。是的,os-shell的执行条件有三个(1)网站必须是root权限(2)攻击者需要知道网站的绝对路径(3)GPC为off,php主动...
Sqlmap 使用方法小结
0verWatch的博客
08-02 2万+
平常的使用GET方法像–tables –columns -T -D –dbs –dump 啥的就不说了,只是博客几天不发,空着不好,还是得写写东西 --is-dba 当前用户权限(是否为root权限,mssql下最高权限为sa) --dbs 所有数据库 --current-db 网站当前数据库 --users 所有数据库用户 --current-user 当前数据库用户 --random-age...
Mysql中执行系统命令mysql提示符下执行操作系统命令
qq_45844443的博客
10-27 2941
Mysql中执行系统命令mysql提示符下执行操作系统命令 实现方法: 在mysql提示符下,输入system后面接要执行的操作系统命令就可以了。 system (commands); 例子: system pwd; system ls; system ll; 但是这样的使用无法在window下使用(本人测试为只有linux环境下才可以) ...
sqlmap使用教程大全命令大全(图文)
热门推荐
Cwillchris的博客
03-15 6万+
我们先准备一个靶机,我这里拿经典的SQL大观园靶机 我们再url后面传参http://192.168.98.100/sqli-labs/Less-1/?id=1 接下来我们用此url进行SQLmap的教学http://192.168.98.100/sqli-labs/Less-1/?id=1 一、SQLmap基础操作 1.判断是否存在注入 假设目标注入点是http://192.168.98.100/sqli-labs/Less-1/?id=1,判断具是否存在注入的命令如下所示.
sqlmap --os-shell mssql数据库原理详解
06-09
使用 `--os-shell` 参数,SQLMAP 可以在漏洞利用成功后获取一个操作系统的交互式shell。这样,攻击者可以通过该shell执行任意的系统命令,并获取系统的一切权限。 MSSQL 是一种关系型数据库管理系统,由 Microsoft ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值