记一次简单sql注入直接getshell

在挖SRC活动的时候，随手打开了一个网站：http://www.xxx.cn/#

既然是挖sql注入那肯定找 ?id= 咯，翻着翻着就到了这个页面：http://www.xxx.cn/news4detail.php?tnewsid=158

直接来一波
http://www.xxx.cn/news4detail.php?tnewsid=158-1
http://www.xxx.cn/news4detail.php?tnewsid=158 and 1=1
http://www.xxx.cn/news4detail.php?tnewsid=158 and 1=2

页面有很明显的变化，路径都给爆出来了，直接扔sqlmap

好家伙，还没开始就结束了。直接一串红，访问一下官网打不开，很明显IP被封了
换了一下ip，sqlmap加了个 —tamper xforwardedfor.py

成功跑出注入点，现在就继续跑库名和表名了

好家伙又被ban了，只好换个ip继续跑，sqlmap加了个 —delay 1

库名都跑出来了，表名也就OK了。突然记起之前爆出了绝对路径，想着能不能用sqlmap的—os-sehll来直接getshll。说干就干，先试一下—is-dba

居然为返回TRUE，那就起飞了。那—os-shell必定能用

试了下基础命令

居然是system权限，这个时候肯定是想写个一句话木马来连连了
写的时候发现死活都写不了PHP，而txt就能写

php文件一句话木马变形了多次也写不了，估计是杀毒软件给删了之类的

查阅了资料后知道:
使用sqlmap —os-shell，sqlmap会生成两个文件，一个是文件上传脚本文件，一个是PHP一句话木马文件
我们可以通过它的文件上传脚本上传一句话或者是通过他的生成的一句话文件链接菜刀进行管理。

不知道为什么，sqlmap生成的一句话木马我死活连不上，就只能上传木马了
访问：http://www.xxx.cn/tmpubygz.php

这里上传的是冰蝎3.0的木马，访问下shell.php，很明显生成了。连接一下试试

成功getshll ！
总结：平时使用sqlmap时可以尝试着使用—os-shell参数