Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/database-lateral-pivot

Name: database-lateral-pivot
Author: wgpsec

skills/lateral/database-lateral-pivot/SKILL.md

npx skillsauth add wgpsec/AboutSecurity database-lateral-pivot

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

数据库横向移动方法论

数据库是内网中天然的跳板——它们通常比应用服务器有更宽松的网络访问策略（需要连接多个服务），而且 PostgreSQL 的 dblink、MSSQL 的 Linked Server、MySQL 的 FEDERATED 引擎都提供了原生的跨主机查询能力。当应用层网络隔离严格时，通过数据库进行横向移动往往是唯一路径。

⛔ 深入参考（必读）

dblink 连接、Linked Server 利用、SSRF 探测的完整命令和场景 → references/dblink-lateral.md

Phase 1: 评估横向条件

在当前数据库中收集信息，判断横向移动的可能性：

-- PostgreSQL: 检查可用扩展
SELECT * FROM pg_available_extensions WHERE name IN ('dblink','postgres_fdw');

-- PostgreSQL: 已有的外部连接配置
SELECT * FROM pg_foreign_server;
SELECT * FROM pg_user_mapping;

-- MSSQL: 检查 Linked Servers
EXEC sp_linkedservers;
SELECT * FROM sys.servers WHERE is_linked = 1;

-- MySQL: 检查 FEDERATED 引擎
SHOW ENGINES;

横向条件清单：

当前是 superuser/sa/root 吗？（非特权用户通常无法创建 dblink）
数据库配置中有没有其他主机的连接信息？
环境变量/配置文件中有没有其他数据库的凭据？

Phase 2: 内网信息收集（通过数据库）

数据库本身就是信息金矿：

-- 搜索连接字符串
SELECT * FROM pg_settings WHERE name LIKE '%connection%';

-- 搜索包含密码的表/列
SELECT table_name, column_name FROM information_schema.columns
WHERE column_name LIKE '%pass%' OR column_name LIKE '%secret%' OR column_name LIKE '%token%';

-- 查找其他数据库主机（配置表中常有）
SELECT * FROM config WHERE key LIKE '%host%' OR key LIKE '%db%' OR value LIKE '%.%.%.%';

Phase 3: 横向攻击决策树

已控制一个数据库？
├─ PostgreSQL → 
│   ├─ dblink（最灵活）→ 连接任意 PostgreSQL/支持的数据库
│   ├─ postgres_fdw（外部数据封装器）→ 透明跨库查询
│   └─ COPY TO PROGRAM + curl → SSRF 探测内网
├─ MSSQL →
│   ├─ Linked Server → 连接其他 MSSQL/任意 OLE DB 数据源
│   ├─ OPENROWSET → 即席跨库查询
│   └─ xp_cmdshell + curl → 内网探测
├─ MySQL →
│   ├─ FEDERATED 引擎 → 跨 MySQL 实例查询
│   └─ LOAD DATA LOCAL → 读取本地文件
└─ 通用 → 
    ├─ 通过命令执行进行端口扫描/服务发现
    └─ 利用数据库中存储的凭据连接其他服务

→ 各数据库横向的完整命令 → references/dblink-lateral.md

Phase 4: 横向后利用

成功连接到新数据库后：

提取数据 — 用户表、配置表、flag
获取 RCE — COPY FROM PROGRAM / xp_cmdshell / UDF
继续横向 — 新数据库可能连接更多内网资源
持久化 — 创建后门账号、触发器

注意事项

dblink/Linked Server 查询产生的流量来自数据库服务器 IP，不是你的攻击机 IP
利用这一特性可以绕过基于 IP 的网络 ACL
数据库间通信通常是明文的，注意凭据安全
大量跨库查询会产生日志，注意操作节制

wgpsec/database-lateral-pivot

skills/lateral/database-lateral-pivot/SKILL.md

数据库横向移动与跨库攻击。当已获取一个数据库权限（PostgreSQL/MySQL/MSSQL）需要横向到其他数据库或内网服务时使用。覆盖 PostgreSQL dblink 跨库连接、MSSQL Linked Server 横向、MySQL 联邦引擎跨库、数据库→SSRF→内网探测。当目标网络隔离但数据库可通信时（数据库通常有比应用服务器更宽松的网络策略），这是突破隔离的关键路径。发现任何数据库间通信需求、内网数据库横向、跨库查询场景都应使用此技能

1,193 stars

data-ai

Updated Apr 25, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity database-lateral-pivot

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Apr 25, 2026, 2:44 AM8.3s3 files scanned

SKILL.md

name:: database-lateral-pivot
description:: 数据库横向移动与跨库攻击。当已获取一个数据库权限（PostgreSQL/MySQL/MSSQL）需要横向到其他数据库或内网服务时使用。覆盖 PostgreSQL dblink 跨库连接、MSSQL Linked Server 横向、MySQL 联邦引擎跨库、数据库→SSRF→内网探测。当目标网络隔离但数据库可通信时（数据库通常有比应用服务器更宽松的网络策略），这是突破隔离的关键路径。发现任何数据库间通信需求、内网数据库横向、跨库查询场景都应使用此技能
tags:: database,lateral,pivot,dblink,linked_server,postgresql,mssql,mysql,横向移动,跨库,内网,ssrf
category:: lateral

数据库横向移动方法论

⛔ 深入参考（必读）

dblink 连接、Linked Server 利用、SSRF 探测的完整命令和场景 → references/dblink-lateral.md

Phase 1: 评估横向条件

在当前数据库中收集信息，判断横向移动的可能性：

-- PostgreSQL: 检查可用扩展
SELECT * FROM pg_available_extensions WHERE name IN ('dblink','postgres_fdw');

-- PostgreSQL: 已有的外部连接配置
SELECT * FROM pg_foreign_server;
SELECT * FROM pg_user_mapping;

-- MSSQL: 检查 Linked Servers
EXEC sp_linkedservers;
SELECT * FROM sys.servers WHERE is_linked = 1;

-- MySQL: 检查 FEDERATED 引擎
SHOW ENGINES;

横向条件清单：

当前是 superuser/sa/root 吗？（非特权用户通常无法创建 dblink）
数据库配置中有没有其他主机的连接信息？
环境变量/配置文件中有没有其他数据库的凭据？

Phase 2: 内网信息收集（通过数据库）

数据库本身就是信息金矿：

-- 搜索连接字符串
SELECT * FROM pg_settings WHERE name LIKE '%connection%';

-- 搜索包含密码的表/列
SELECT table_name, column_name FROM information_schema.columns
WHERE column_name LIKE '%pass%' OR column_name LIKE '%secret%' OR column_name LIKE '%token%';

-- 查找其他数据库主机（配置表中常有）
SELECT * FROM config WHERE key LIKE '%host%' OR key LIKE '%db%' OR value LIKE '%.%.%.%';

Phase 3: 横向攻击决策树

已控制一个数据库？
├─ PostgreSQL → 
│   ├─ dblink（最灵活）→ 连接任意 PostgreSQL/支持的数据库
│   ├─ postgres_fdw（外部数据封装器）→ 透明跨库查询
│   └─ COPY TO PROGRAM + curl → SSRF 探测内网
├─ MSSQL →
│   ├─ Linked Server → 连接其他 MSSQL/任意 OLE DB 数据源
│   ├─ OPENROWSET → 即席跨库查询
│   └─ xp_cmdshell + curl → 内网探测
├─ MySQL →
│   ├─ FEDERATED 引擎 → 跨 MySQL 实例查询
│   └─ LOAD DATA LOCAL → 读取本地文件
└─ 通用 → 
    ├─ 通过命令执行进行端口扫描/服务发现
    └─ 利用数据库中存储的凭据连接其他服务

→ 各数据库横向的完整命令 → references/dblink-lateral.md

Phase 4: 横向后利用

成功连接到新数据库后：

提取数据 — 用户表、配置表、flag
获取 RCE — COPY FROM PROGRAM / xp_cmdshell / UDF
继续横向 — 新数据库可能连接更多内网资源
持久化 — 创建后门账号、触发器

注意事项

dblink/Linked Server 查询产生的流量来自数据库服务器 IP，不是你的攻击机 IP
利用这一特性可以绕过基于 IP 的网络 ACL
数据库间通信通常是明文的，注意凭据安全
大量跨库查询会产生日志，注意操作节制

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/lateral/database-lateral-pivot ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,193 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT