Загрузка Web Shell через SQLmap [for newbies]

Discussion in 'Песочница' started by Bezlishke, 18 May 2015.

  1. Bezlishke

    Bezlishke Member

    Joined:
    18 May 2015
    Messages:
    26
    Likes Received:
    12
    Reputations:
    3
    Доброго времени суток, друзья.
    Я давно натыкался на статейку, сейчас уже не могу её найти. Но думаю вам будет интересно почитать.
    Сразу говорю, статья не для пропентестеров, а для тех кто только начинает свой путь в этой сфере. Не судите строго...
    Для начала нам понадобится:

    1) PHPSHell
    2) SQLmap
    3) Скрипт на пхыеСкрипт аплоада на Пых'е

    =============================

    Первым делом, после того как мы нашли уязвимость, нам надо получить FPD. Варинтов множество, но мне обычно подходит Array[] Parameter инъекция.

    И получаем ожидаемое.

    Далее нам нужно перевезти код "нашего" скрипта для аплоада в hex. На выхлопе мы получаем незатейливый кодец и стремительно запускаем скульмап. Для получения максимальной информации я стараюсь убить двух зайцев сразу, чего и вам советую. Помимо того, что мы хотим попасть в шелл SQL было бы славно познакомиться с базой.

    Перед нашими глазами воспрянет:

    Наша команда должна иметь вид:

    Code:
    SELECT 0xНаш_хекс_код INTO OUTFILE "Полный/путь/и_имя/файла.php";
    Допустим мы назвали его upload.php, значит дико-бешено бежим на http://www.example.com/upload.php. Заливаем шелл и занимаемся его поиском. После чего можно логиниться на него и продолжать идти к намеченной цели.

    ===========

    Работает это только на MySQL и только с file-priv "Y"
    Статья написана в ознакомительных целях, только для расширения кругозора новичков. Автор не несёт ответственности на её использование.
     
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    забыли еще одно обязательное условие :)
     
    _________________________
  3. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,063
    Reputations:
    693
    _________________________
  4. Bezlishke

    Bezlishke Member

    Joined:
    18 May 2015
    Messages:
    26
    Likes Received:
    12
    Reputations:
    3
    Так-то это я. :) Могу копипастить своё сколько угодно. Или же нет?
     
  5. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,063
    Reputations:
    693
    Ну раз "я"..
    Всё дело в знаниях, актуальности и востребованности.. мб и "могу", но с февраля уж столько прошло и потом вот это
    такое призрачное, но флаг в руки если кто-то воспользуется, но для начала откопает..
     
    _________________________
  6. Bezlishke

    Bezlishke Member

    Joined:
    18 May 2015
    Messages:
    26
    Likes Received:
    12
    Reputations:
    3
    Я до сих пор нахожу иногда
     
    Suicide likes this.
  7. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    ну вообще кошмар. давно ещё на эксплоите видел, ужас, кошмар. Ужас. нет слов.
     
    erwerr2321, BigBear and Suicide like this.
  8. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    _________________________
  9. Bezlishke

    Bezlishke Member

    Joined:
    18 May 2015
    Messages:
    26
    Likes Received:
    12
    Reputations:
    3
    Спасибо. Буду дома дополню
     
  10. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Наверное словосочетание sqlmap сканер, уже потеряло актуальность.
    Однако sql не только инструмент для "раскрутки" уязвимости. Но он ещё реально сканер, да-да, сканер, и как вы догадались он находит sql уязвимые параметры в GET and POST запросах
    Вот маленький пример
    sqlmap --random-agent -u site.org --form --crawl=2 --batch
    Где : --form "обработка" post данных альтернатива (--data )
    --crawl=2 <- вы наверное догадались. сканирование структуры сайта
    --batch это то что делает процесс полностью автоматичиски. вам остаётся только ждать
    --random-agent = произвольный юзер агент
    Так маленько дополнение к sqlmap
     
  11. 1pman

    1pman New Member

    Joined:
    28 Sep 2015
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    у меня вылазит
    при
    Code:
    sql-shell> select user from mysql.user where file_priv='Y'
    [05:08:20] [INFO] fetching SQL SELECT statement query output: 'select user from mysql.user where file_priv='Y''
    [05:08:20] [INFO] the SQL query used returns 2 entries
    [05:08:20] [INFO] resumed: root
    [05:08:20] [INFO] resumed: root
    select user from mysql.user where file_priv='Y' [1]:
    [*] root
    
    в чём может быть проблема?=( пытаюсь провернуть на 2 сайтах, везде одно и тоже
     
    #11 1pman, 11 Mar 2016
    Last edited: 11 Mar 2016
  12. Bezlishke

    Bezlishke Member

    Joined:
    18 May 2015
    Messages:
    26
    Likes Received:
    12
    Reputations:
    3
    Подробнее давай. может ты в команде ошибся.
     
  13. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    sql-shell> select user from mysql.user where file_priv='Y' Тебя не смутило что у тебя уже шел?*
     
    to.Index and Zen1T21 like this.
  14. DarkCaT

    DarkCaT ~Some Member~

    Joined:
    14 Mar 2016
    Messages:
    33
    Likes Received:
    13
    Reputations:
    17
    А тебя не смущает что это всего лишь SQL-шел ? А человек просто пытается понять есть ли у него права на запись в файл.
     
  15. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Неа, всё в порядке. просто если бы не было бы прав ему бы не дался бы такой интерфейс, так же можно ещё и через sql квери
     
  16. I_I

    I_I Member

    Joined:
    22 Nov 2013
    Messages:
    67
    Likes Received:
    6
    Reputations:
    1
    Автору надо еще видос записать и будет само то

    Добавлю от себя
    PHP shell можно взять здесь https://github.com/HARDLINUX/webshell
    Конечно все в ознакомительных целях
     
  17. reds1993

    reds1993 Active Member

    Joined:
    25 Aug 2008
    Messages:
    52
    Likes Received:
    131
    Reputations:
    0
    это что за хрень?
     
  18. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    oRb - сделал шедевр, теперь каждая 2я мразь плагиатит
     
    Take_IT and reds1993 like this.
  19. reds1993

    reds1993 Active Member

    Joined:
    25 Aug 2008
    Messages:
    52
    Likes Received:
    131
    Reputations:
    0
    На гитхабе таких улучшений тьматьмущая... одно хуже другого