本系列课程,将重点讲解Phpsploit-Framework框架软件的基础使用!
本文章仅提供学习,切勿将其用于不法手段!
继续接上一篇文章内容,讲述如何进行Phpsploit-Framework软件的基础使用和二次开发。
现在,我们来讲一下 Phpsploit-Framework 软件的数据库操作功能!
Phpsploit-Framework 软件的 database 数据库管理 模块,分别提供了 query 查询 和 exec 更新两项核心功能。
在正式使用这个功能前,我们先来熟悉几条非常重要的SQL语句。
CREATE USER '数据库账户名称'@'网络访问权限域' IDENTIFIED BY '数据库账户密码';
这条SQL语句的作用是,在数据库服务器中创建指定的数据库账户,并设定网络权限域与密码。
示例:
CREATE USER 'test_huc0day'@'localhost' IDENTIFIED BY 'test_huc0day';
在数据库服务器中创建账户名称为“ test_huc0day ”的数据库账户,对应的账户密码为“ test_huc0day ”,数据库账户 “ test_huc0day ” 的网络访问限制为 “ localhost ”(本机访问)。
执行完上面的SQL语句,我们就在数据库服务器中创建了一个名称为“test_huc0day” 的数据账户。
GRANT ALL PRIVILEGES ON 数据库名称.数据表名称 TO '数据库账户名称'@'网络访问权限域';
这条SQL语句的作用是,为指定的数据库账户,赋予访问指定数据库和数据表的权限。
示例:
GRANT ALL PRIVILEGES ON *.* TO 'test_huc0day'@'localhost';
在数据库服务器中,为账户名称为“ test_huc0day ”的数据库账户,赋予访问全部数据库及其下属数据表的权利(符号“ * ”,代表全部)。
执行完上面的SQL语句,我们就为数据库账户“test_huc0day” 赋予了访问数据库服务器中所有数据库及其下属数据表的权利。
ALTER USER '数据库账户名称'@'网络访问权限域' IDENTIFIED BY '数据库账户密码';
这条SQL语句的作用是,更新数据库服务器中相关账户的网络访问权限域或账户密码信息。
示例:
alter user 'test_huc0day'@'localhost' IDENTIFIED BY 'test_huc0day';
在数据库服务器中,为账户名称为“ test_huc0day ”的数据库账户,更新网络访问权限域和密码。
执行完上面的SQL语句,我们就为数据库账户“test_huc0day” 更新了网络访问权限域和账户密码信息。
flush privileges;
这条SQL语句的作用是,重新加载授权表(比如,mysql.user 等 ),以便立即进行数据库访问权限的更新。
示例:
flush privileges;
执行完上面的SQL语句,即可使用新创建的数据库账户进行数据库服务器的访问操作。
现在,让我们返回 Phpsploit-Framework 软件的 Database 数据库管理功能 模块!
我们,首先尝试使用,Phpsploit-Framework 软件的 Database 模块的 Query 数据查询功能。
我们可以发现,发送的SQL查询请求,是经过通信加密的!也就是说,我们发送的 数据库账户名称和对应的密码,是密文的!这大大加强了通信数据的安全性!
我们还可以发现,我们发送的SQL查询语句,同样是经过密文加密的!
如果大家细心一些,会发现,每次SQL查询的通信密钥都是动态的。这意味着,即使恶意黑客劫持到了请求包,那么想要进行恶意利用,可能性也是非常低的(通信密钥使用之后,就会失效)!
Phpsploit-Framework 软件的设计者,身为一名资深的白帽子黑客,深知通信安全的重要性!
因此,在 Phpsploit-Framework 软件的设计初期,即考虑到了大量安全因素在里面,致力于打造强大且安全的专业渗透测试工具软件。
细心的你,会发现!Phpsploit-Framework 软件自带了基于访问令牌的安全机制,这意味着绝大部分 CSRF攻击 将对 Phpsploit-Framework 软件无效!
我们可以看到,通过 Phpsploit-Framework 软件的 Database 数据库管理功能,我们可以非常方便地基于SQL语句对数据库服务器进行操作管理。
Phpsploit-Framework 软件的设计者( huc0day ),对于通信安全是高度重视的!
我们可以看到, Phpsploit-Framework 软件的 Database 数据库管理功能 的请求通信和应答通信,都是经过安全处理的!敏感数据,都已进行了安全加密处理。
Phpsploit-Framework 软件的 Database 数据库管理功能 模块,不但为蓝队的安全运维人员提供了较为方便的、在线式的数据库访问功能,也为红队的渗透测试人员提供了较为强大的WAF防火墙规则绕过功能。
下一篇内容《专业渗透测试 Phpsploit-Framework(PSF)框架软件小白入门教程(十)》
