使用sqlmap對進行php+mysql注入實戰

時間 2019-11-18

標籤使用 sqlmap 進行 php+mysql php mysql 注入實戰欄目 PHP 简体版

原文原文鏈接

做者：陳小兵
通常來說一旦網站存在sql注入漏洞，經過sql注入漏洞輕者能夠獲取數據，嚴重的將獲取webshell以及服務器權限，但在實際漏洞利用和測試過程當中，也可能由於服務器配置等狀況致使沒法獲取權限。php

1.1php注入點的發現及掃描html

1.使用漏洞掃描工具進行漏洞掃描mysql

將目標url地址放在wvs中進行漏洞掃描，如圖1所示，掃描結果顯示存在SQL盲注和SQL注入，其漏洞存在的參數爲同一頁面。web

圖1使用wvs掃描目標網站sql

2.使用sqlmap工具對注入點進行漏洞驗證shell

如圖2所示，使用sqlmap注入檢查命令進行驗證：數據庫

驗證結果顯示該url確實存在sql注入漏洞，且數據庫爲mysql。apache

圖2使用sqlmap工具對注入點進行漏洞驗證瀏覽器

1.2使用sqlmap進行sql注入測試安全

1.sql注入payload

如圖3所示，經過sqlmap或者該注入點存在boolean-based blind、 AND/OR time-based blind 、UNION query三種類型漏洞，跟wvs掃描結果一致。sqlmap漏洞測試完畢後會自動給出相應的payload，例如對第一個能夠在瀏覽器中進行測試：

圖3 sql注入payload

2.獲取當前數據庫名稱

獲取當前數據庫爲xbase，如圖4所示。

圖4獲取當前數據庫名稱

3.獲取當前用戶

命令直接獲取當前數據庫帳號爲root@localhost，如圖5所示。

圖5獲取當前數據庫用戶帳號

4.查看數據庫用戶及密碼

因爲本例注入點是mysql root帳號，所以能夠經過sqlmap命令來查看數據庫用戶（–users）及數據庫密碼(–password)，如圖6所示，執行命令以下：

圖6查看數據庫用戶及密碼

5.破解並獲取數據庫明文密碼

（1）在線破解並整理數據庫密碼

將密碼哈希值去掉前面的「*」號，將其複製到www.cmd5.com及somd5.com進行破解，注意該值須要選擇密碼類型mysql5，整理查詢結果以下所示：

（2）還能夠經過–sql-shell直接查詢數據庫用戶及密碼

執行上面命令後，經過查詢命令來獲取密碼，如圖7所示：

圖7查詢mysql數據庫host、user及密碼

（3）對服務器端口進行掃描

masscan -p 3306 114.**.***.***

若是開放數據庫端口，則能夠直接進行鏈接，掃描結果顯示僅僅開放80端口。

6.一些經常使用的sqlmap命令總結

1.3php網站webshell獲取

（4）後臺文件上傳漏洞利用及獲取

經過注入點獲取管理員密碼及後臺地址，登陸後臺尋找上傳地址及上傳漏洞來獲取webshell。

（5）文件包含漏洞來獲取webshell

2.直接獲取webshell失敗

對於root帳號而言，通常狀況均可以經過–os-shell命令來獲取webshell，如圖8所示，執行命令後，並未獲取shell。

圖8獲取shell失敗

3.獲取真實物理路徑

經過測試，在網站根目錄下發現存在phpinfo頁面，如圖9所示，在該頁面中能夠看到數據庫爲內網IP地址192.168.77.88，真實物理路徑爲/usr/local/apache/htdocs

圖9獲取網站正式路徑

4.寫入文件測試

知道物理路徑，能夠經過sqlmap進行文件讀取和寫入命令，執行命令：

sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 –file-write=」C:\tools\sqlmap\1.php」 –file-dest=」/usr/local/apache/htdocs/happystudy/shell.php」

如圖10所示，sqlmap執行命令成功，經過url對文件進行訪問測試，頁面不存在。

圖10寫入文件測試

5.本地搭建環境測試寫入文件

前面寫入文件執行成功，懷疑是命令有問題，所以在本地搭建環境進行測試，測試命令爲：

sqlmap.py -d mysql://root:123456@172.17.26.16:3306/mysql –file-write=」C:\tools\sqlmap\1.php」 –file-dest=」C:\ComsenzEXP\wwwroot\shell.php」

結果在C:\ComsenzEXP\wwwroot\目錄下成功寫入shell.php文件，爲此分析緣由可能爲：

（1）該目錄無寫入權限

（2）magic_quotes_gpc值爲on

6.嘗試general_log文件獲取webshell方法

（1）查看genera文件配置狀況

（2）關閉general_log

（3）經過general_log選項來獲取webshell

因爲以上命令須要在mysql客戶端命令行或者phpmyadmin中進行執行，本案例中不具有，經過–sql-shell以及–sql-query命令均未能實現。

7.使用pangolin工具進行導出webshell

如圖11所示，經過pangolin對該sql注入地址進行測試，嘗試將webshell導出到網站根目錄/usr/local/apache/htdocs/xxx.php文件，結果顯示跟前面的分析狀況一致。

圖11使用pangolin工具進行導出webshell失敗

8.讀取文件測試

（1）讀取文件

如圖12所示，依次執行命令，分別讀取/etc/passwd、/usr/local/apache/htdocs/index.php等文件

sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 –file-read=」/usr/local/apache/htdocs/index.php」[/align]

[align=left]sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 –file-read=」/etc/passwd」 [/align]

[align=left]

圖12讀取系統文件及其餘文件

（2）獲取數據庫密碼

sqlmap會將獲取的文件自動保存到當前系統用戶下C:\Users\john\.sqlmap\output\www.****.com.cn\files，如圖13所示，讀取conn.php文件的內容，成功獲取數據庫root帳號密碼。

圖13讀取源代碼獲取root密碼

1.4艱難的後臺地址獲取

1.使用havij對後臺進行掃描

如圖14所示，經過havij等工具對目標後臺地址進行獲取，在本例中獲取的是普通用戶的登陸地址，未獲取真正的後臺地址。

圖14使用havij對後臺地址進行掃描

2.經過google成功獲取後臺地址

後面使用百度對該url地址進行查詢「site:somesite.com 後臺管理」未能獲取相關信息，但在google中成功獲取其後臺地址，如圖15所示。有時候google黑客技術仍是挺管用的。從url中能夠看到該管理地址很難掃描獲取。

圖15成功獲取後臺管理地址

3.獲取真正的管理表

經過sqlmap對該數據庫中全部的表進行查詢，發現存在多個涉及密碼的表，admin、admin_files、admin_groups、tb_admin，依次進行和密碼破解，將其進行後臺登錄，均爲成功登陸。後面經過讀取登陸地址的源代碼成功獲取，其真正的管理員表爲tygb，如圖16所示，經過sql-shell進行查詢：select * from tygb