blind mssql injection с ограничениями

Discussion in 'Веб-уязвимости' started by xddude, 29 Oct 2019.

  1. xddude

    xddude New Member

    Joined:
    29 Oct 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Привет, нужна помощь\совет.

    В общем, есть сервер с IIS 7.5 и MSSQL, где есть блайнд инъекция через софт, который с ним работает, поэтому с ограничениями, ограничения следующие:
    - длина запроса максимум 104
    - нельзя использовать запятые
    - нельзя использовать // (два слеша подряд)

    аккаунт sysadmin с фул правами, ограничения с запятыми обходятся через создание таблички и exec оттуда, поэтому все нужные
    EXEC sp_configure 'show advanced options', 1; --
    EXEC sp_configure 'xp_cmdshell', 1; --
    выполнены и есть возможность использовать xp_cmdshell и выполнять cmd команды
    однако сервер mssql не имеет админ прав в системе, поэтому нельзя создать админ юзера под рдп, нельзя поменять правила фаервола

    попытки залить шелл стандарт способами:
    - Powershell
    - wmic os get
    -Certutil.exe
    - mshta.exe
    ни к чему не приводят (просто даже нет коннекта к моему серверу оттуда, возможно фаерволом закрыто, возможно это даже не установлено там, нет идей как получить вывод команд в блайнд инъекции)

    в общем, нужен доступ к файловой системе, даже без записи, просто пару файлов скачать (но сначала понять структуру фс)
    в этой ситуцаии еще можно что-то попробовать или похороны?

    спасибо
     
  2. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    1,988
    Likes Received:
    881
    Reputations:
    198
    то есть коллоборатор не всунешь, а что происходит? какая реакция? Бэкслеши или прямые слэши запрещены?
     
    _________________________
  3. xddude

    xddude New Member

    Joined:
    29 Oct 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    просто софт не дает вписать // в запрос напрямую почему-то
    ну это можно обойти также, как и запятые, записать в таблицу через char(47)+char(47) и оттуда уже вызвать
    но проблема еще в том, что запрос несколько раз выполняется и при этом ограничение на длину, то есть не записать что-то длинное в несколько шагов, потому что апдейт выполнится несколько раз (а для инсерта это не важно)
     
  4. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    1,988
    Likes Received:
    881
    Reputations:
    198
    записывайте часть нужного запроса в табличку, делайте lock table либо через уникальные идентификаторы чтоб повторных записей не делалось
    принцип:
    1 запрос: запись строки, и тут же lock
    2 запрос: анлок
    3й запрос: дозапись+лок

    Может кто придумает лучше решение, но на скорую руку я напридумывал такое вот.
    P.s слепой вывод можно коллоборатором направить на твой домен
     
    _________________________
    xddude likes this.
Loading...