如何使用sqlmapGetshell

sqlmap讀取與寫入文件

–file-read ：從后端的數(shù)據(jù)庫管理系統(tǒng)文件系統(tǒng)讀取文件

–file-write：編輯后端的數(shù)據(jù)庫管理系統(tǒng)文件系統(tǒng)上的本地文件（從本地寫入）

–file-dest ：后端的數(shù)據(jù)庫管理系統(tǒng)寫入文件的絕對(duì)路徑 （寫入目標(biāo)路徑）

???? 可以用以上幾個(gè)命令對(duì)SQL注入后的系統(tǒng)文件進(jìn)行讀寫，但是前提條件是需要有可讀可寫的權(quán)限并且為dba權(quán)限，否則無法成功進(jìn)行讀寫操作。

以DVWA為例，在kali下搭建DVWA進(jìn)行讀取與寫入文件操作。

讀取文件：

???? 查看了PHPinfo里的相關(guān)信息，使用-file-read命令進(jìn)行文件讀取。

sqlmap -u”http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#”–cookie “security=low; PHPSESSID=0o84koanki32dh7jjkckqelqme”-file-read “/etc/php/7.3/apache2/php.ini”

????? 文件讀取成功后，會(huì)在顯示的信息中最后有提示提示，要進(jìn)入到sqlmap輸出的相關(guān)路徑下才能讀取的相關(guān)的信息內(nèi)容。

寫入文件：

???? 這里使用DVWA的命令執(zhí)行查看了路徑后，將文件寫入/var/www/html/vulnerabilities/exec此路徑下，使用-file-write，-file-dest命令，發(fā)現(xiàn)寫入成功。

sqlmap -u”http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#”–cookie “security=low; PHPSESSID=0o84koanki32dh7jjkckqelqme”-file-write “/usr/test/1.txt” -file-dest “var/www/html/vulnerabilities/execl/1.txt”

（use路徑下創(chuàng)建的1.txt內(nèi)容）

（寫入成功后顯示1.txt內(nèi)容）

Sqlmap上傳shell （–os-shell）

–os-shell的執(zhí)行條件有三個(gè):

（1）網(wǎng)站必須是root權(quán)限

（2）攻擊者需要知道網(wǎng)站的絕對(duì)路徑

（3）GPC為off，php主動(dòng)轉(zhuǎn)義的功能關(guān)閉

????? 首先使用 –is-dba命令查看是否為管理員，若不是，則無法使用–os-shell命令。如下圖所示，顯示為true是管理員，不是管理員顯示為false。

?????? 接下來使用 –os-shell命令，存在注入點(diǎn)后，會(huì)提示需要選擇語言，這里選擇是根據(jù)系統(tǒng)使用的語言進(jìn)行選擇，搭建的DVWA是php，所以這里選擇了4.

網(wǎng)站的語言選擇完成后會(huì)對(duì)路徑進(jìn)行選擇，若知道網(wǎng)站絕對(duì)路徑可以選擇2，也可以選擇1常用路徑。

路徑選擇完成后，在寫入時(shí)卻提示404，如下圖所示。

?????? 回過頭再去查看其它設(shè)置是否出現(xiàn)問題。前面使用-is-dba，顯示是true，然后在使用命令current-user查看用戶，查看到用戶為dvwauser。在最初設(shè)置時(shí)系統(tǒng)也提示過Mariadb默認(rèn)不能使用root權(quán)限連接數(shù)據(jù)庫，但是也使用grant all語句給dvwauser賦予了所有權(quán)限，寫入路徑也設(shè)置了可讀寫的權(quán)限，但是一直未寫入成功，最后還是使用xampp進(jìn)行嘗試。（這里懷疑過是否因?yàn)槭莚oot用戶的問題或者數(shù)據(jù)庫版本的問題，畢竟xampp寫入成功）

??? 查看用戶為dvwauser：

??? 賦予dvwauser用戶權(quán)限：

無奈之下，使用Xampp搭建DVWA嘗試時(shí)，這次發(fā)現(xiàn)成功寫入了。

?? 使用xampp進(jìn)行寫入前，用current-user查看了用戶，如下圖所示，顯示為root，使用-is-dba顯示為true。

???? 寫入成功后，訪問寫入文件的路徑，這里存在一個(gè)上傳點(diǎn)，可以進(jìn)行上傳，我這上傳了一個(gè)php文件，使用蟻劍進(jìn)行連接成功。