sqlmap结合后门工具webacoo获取dvwa控制权shell

      		sqlmap结合后门工具webacoo获取dvwa控制权shell

一、通过sqlmap的–os-shell给dvwa上传后门文件，并获取os-shell。



通过sqlmap上传了后门文件tmpulkdf.php。
通过http://10.10.10.129:80/dvwa/tmpulkdf.php可以打开文件上传界面，可上传后门文件如一句话木马。可自主选择途径，该处选择了/var/www/dvwa/hackable/uploads

注意os-shell的执行条件有三个
（1）网站目前使用用户必须是root权限
（2）扫描或其他方法获得网站的绝对路径
（3）GPC为off，php主动转义的功能关闭

二、查看当前获取的数据库的权限
（1）通过python sqlmap.py -u
‘http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=admin&Submit=Submit’ --cookie=‘security=low; PHPSESSID=9pkugvc3h1m8t3nkqeuk264ml1’ --current-db
查看当前的数据库名：

（2）通过python sqlmap.py -u
‘http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=admin&Submit=Submit’ --cookie=‘security=low; PHPSESSID=9pkugvc3h1m8t3nkqeuk264ml1’ --current-user查看当前的数据库用户：

（3）通过python sqlmap.py -u
‘http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=admin&Submit=Submit’ --cookie=‘security=low; PHPSESSID=9pkugvc3h1m8t3nkqeuk264ml1’ --is-dba查
看当前用户是否管理员用户（dba）:

通过上述的操作当前用户并不是管理员用户，不能对文件夹进行写权限，不能上传后门文件，不能获取os-shell：

三、对目标网站dvwa进行修改
（1）修改dvwa用户，即修改dvwa中config.inc.php文件

将用户名改为root，密码改为对应root的密码，保存退出，并重启mysql。
（2）在攻击机kali找到之前进行sqlmap后的文件
并删除，如果不删除再次进行sqlmap时，得到的结果是之前的结果。

（3）重复二、中的步骤后查看到当前用户，得到当前用户为root@localhost，并且是dba（管理员）权限：


到此本以为可以进行–os-shell，上传文件成功，但是发现还是写文件权限问题，上传失败。

（4）经查阅发现是数据库用户在要上传的文件目录/var/www/dvwa没有写权限，进入目标机dvwa修改/var/www/dvwa的权限




修改权限后数据库用户root可对/var/www/dvwa/进行写文件操作，再重复一的步骤即可上传后门文件tmpulkdf.php，并获取os-shell。并获取一个可以上传文件的后门。

四、通过web后门脚本工具webacoo获取
webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现，也有人称之为网站后门工具。
webacoo(web backdoor cookie)是一个web后门脚本工具包，旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具，能够维持对已被拿下的web服务器的权限访问。WeBaCoo的精妙之处在于，Web服务器和客户端之间的通信载体是Cookie。这就意味着多数的杀毒软件、网络入侵检测/防御系统、网络防火墙和应用程序防火墙都无法检测到后门的存在。
（1）kali中如果没有webacoo工具，可通过apt-get install webacoo下载获取。
（2）通过webacoo -h查看webacoo查看参数指令。
（3）生成服务器端

通过上面的后门链接http://10.10.10.129/dvwa/tmpusqgr.php上传该后门文件：

（4）上传后用客户端进行连接，获取控制权：

（5）可以看到，我们进入了一个webacoo终端，这里有一点需要注意，执行命令时要在前面加上一个冒号(，这样才可以获取root权限，并且在靶机上执行系统命令了，如whoami和uname等。

如果没加冒号（：），则仅为目前文件夹/var/www/dvwa/hackable/uploads的权限和文件目录：