看到了某篇關於站庫分離型別站點相關的討論,想總結下資訊收集的技巧。
0x01 正文
關於站庫分離型別站點網上暫時沒有找到總結性的文章,所以想嘗試記錄下關於站庫分離型別站點的滲透思路。
對站庫分離型別站點通常可以有兩個滲透入口點。
1.web**
2.資料庫
滲透思路其實也是比較常規,但是這裡如果兩個入口點無非兩種路徑。
1.從web**打入進而打站庫分離的資料庫,內網滲透
2.從資料庫打入進而打站庫分離的web**,內網滲透
根據不同的路徑定製不同的滲透測試方案,下面記錄一下流程和容易遇到的問題。
一、從 web 入口滲透
從 web 入口通常就是通過**的各種漏洞來getshell,比如檔案上傳、命令執行、**執行、還有sql注入寫入一句話(into outfile、日誌備份等)。
在獲得web許可權或者由諸如檔案讀取等漏洞時,我們還讀資料庫配置檔案、對資料庫內容分析、查詢資料庫備份,進而對資料庫目標ip進行滲透,以便後續操作。
二、從資料庫入口滲透
但是這裡要說主要是外網暴露的資料庫入口點弱口令;web**sql注入。
從資料庫入口滲透,同樣主要是為了獲取更大的許可權,或者擴充套件我們的滲透成果,比如從資料庫裡可以得到一些密碼資訊,使用者名稱等,在後續的內網滲透中可以很有效的幫助我們。
站點是站庫分離的,資料庫和web不在同一臺伺服器上,這時候不能寫入一句話木馬通過web去連,因為路徑沒有用。如果是從web端找到的sql注入,那麼可以通過以下這些方式去做資訊收集、獲取許可權。
(1)定位 web 端 ip 位址
通過查詢information_schema庫中的processlist可以檢視當前 mysql 的連線情況。因為 web 應用會產生查詢資料庫操作,所以在回顯出來的host欄位中會帶回目標的ip:port。
select * from information_schema.processlist;在得到了web端的ip我們可以進而對web端進行滲透。
(2)load_file () 獲取資料庫所在伺服器的敏感資訊
如果沒有secure_file_priv引數的限制(mysql5.7以下)我們還可以用load_file()函式對檔案內容進行讀取。
select load_file('c:/test.txt');
# 左斜槓 /
還可以獲取網絡卡資訊,比如讀:
/etc/udev/rules.d/70-persistent-net.rules
獲取網絡卡名稱
/etc/sysconfig/network-scripts/ifcfg-網絡卡
靜態ip
dhcp的話
/var/lib/dhclient/dhclient--網絡卡.lease
(1) 判斷是否站庫分離
得到客戶端主機名
select host_name();
得到服務端主機名
select @@servername;
根據結果判斷是否分離,結果一樣就可能站庫同伺服器,結果不一樣就是站庫分離。
(2)儲存過程執行命令
我們可以通過 mssql 的儲存過程執行系統命令,可以嘗試直接提公升許可權後滲透其他主機,
常用到的兩個:
1.xp_cmdshell
2.sp_oacreate
可以探測資料庫伺服器是否出網,通過執行ping或者curl看是否出網,通常遇到mssql我們直接就通過命令執行上線了。
同樣是資料庫,自然其中有一些敏感資訊,為了進一步滲透,可以整理密碼本或者其他資訊。
未完待續。
關於引入每日站會的思考
關於引入每日站會的思考 距離上次寫部落格已經一月有餘,實質是在上完 每日站會 的線上課後一直想寫下當時的思考,總因為自己思考不清晰乾脆不做,因為自己都想不清楚如何去實踐呢?同時作為團隊的管理者在思考這個動作不是是否有效的問題,為了避免 每日站會 若是掌握不好就會進入流於形式以至於到最後整個團隊的夥伴...
對資料庫讀寫分離思考
在專案中,我們一般連線的都是主庫,當讀比較多時,就會對主庫的cpu 記憶體造成壓力,而最常見的解決方案無非就是 擴容及讀寫分離。那麼我們就從 形而上 來看看讀寫分離。讀寫分離的本質 讀寫分離,更確切地應該稱之為流量分離,使資料庫請求的流量均衡地打到主從伺服器上,實現資源的充分利用。本質上基於多資源的...
關於web和sql分離 1個入侵的思考
關於web和sql分離 1個入侵的思考 id contentfrm name contentfrm marginwidth 0 marginheight 0 src ads crmj news rightad.htm frameborder 0 width 150 scrolling no heig...