邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]db权限下log备份问题 [查看完整版本]

labeng 2007-3-25 20:53

[讨论]db权限下log备份问题

议题作者：labeng
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

前几天碰到一网站db权限可列目录，字符型注入点，web路径找到了，原以为拿个WEBSHELL难度不大，可是备份log时出现问题了。浏览器下输入[url]http://www.xxxx.com/list.asp?cate=qna[/url]';alter database xxx set RECOVERY FULL 出现如下错误：Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]'' 巩磊凯 菊俊 摧洒瘤 臼篮 牢侩 何龋啊 乐嚼聪促.

/board_1/inc/value.asp, line 5

不知是何原因？大家讨论下。是不是HTTP500错误不是自定义的问题...

erhaisha 2007-3-29 20:01

我和你情况差不多，不过还要惨，db权限不可列目录，字符型注入点，以前进去过拿了WEBSHELL，还提权成功，但现在不但第一步返回信息和你差不多，到第二步建表时，就返回无法打开网页，PING也PING不通了，就是与服务器断开连接。

用UPDATE替换暴出来的密码也会导致与服务器断开连接，这个服务器和我上的机子都是在内网，以前还能列目录的。
  
是防注系统？没返回类似”你的IP被记录“之类的，只说找补到网页
还是WEB与SQL分离？以前就是那个点注入的，看端口不知是被改了还是防火墙滤掉了，没1433。

顺便问一下，我第一次发帖子怎么就被删了，欺负新人？？？

heroooooo 2007-3-29 22:06

[quote]引用第0楼labeng于2007-03-25 20:53发表的 [讨论]db权限下log备份问题 :
议题作者：labeng
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

前几天碰到一网站db权限可列目录，字符型注入点，web路径找到了，原以为拿个WEBSHELL难度不大，可是备份log时出现问题了。浏览器下输入[url]http://www.xxxx.com/list.asp?cate=qna[/url]';alter database xxx set RECOVERY FULL 出现如下错误：Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

.......[/quote]

好好看看??[url]http://www.xxxx.com/list.asp?cate=qna[/url]',多了个引号.韩国的机器。不多说.

独孤依人 2007-3-29 22:39

此类主题不知道老大怎么也通过，在搜索里搜下N多类似主题 [s:264]

erhaisha 2007-3-30 09:41

但是我是用NBSI3.0备份的啊，DB权限，字符型，不能列目录

alter database newsxp4 set RECOVERY FULL

-------------------------------------------------------------------------------------------------------------------------------------------
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'

字符串 &#39; and image=0 and DateDiff(dd,updatetime,getDate())<=30 and checked=1 order by click DESC&#39; 之前有未闭合的引号。

/hottxt.asp，行 32
------------------------------------------------------------------------------------------------------------------------------------------


第 一 步:
[url]http://10.[/url]**.1.119/hottxt.asp?BigClassName=实践&#39;;create table [dbo].[shit_tmp] ([cmd] [image])--

-----------------------------------------------------------------------------------------------------------------------------------
找不到服务器或发生 DNS 错误
Internet Explorer
-----------------------------------------------------------------------------------------------------------------------------------


nbsi返回  “访问URL发生错误”，接着就与服务器自动断开连接。update 替换用户名返回的也与第一步一样，然后断开连接，应该说自动隔绝与外界的通信吧，我换了机子也没打开网页！

还有，不好意思，我发的主题貌似和楼主的差不多，也不知道原来是老话题了，说是欺负新人，对不起啊！
不过下面的问题有谁知道，指导一下！谢谢[s:269]

wyzhack 2007-3-30 14:49

在语句后面加上注释符

nightxie 2007-3-30 16:08

同意楼上的说法~~~~
要加 --
[url]http://www.xxxx.com/list.asp?cate=qna[/url]&#39;;alter database xxx set RECOVERY FULL--

labeng 2007-4-1 13:32

问题已解决谢谢！！

akens 2007-4-9 19:51

[s:269] 问题怎么解决的能说明一下么？

stealthwalker 2007-4-9 20:04

真晕！这里的斑竹呢？这种问题。。。
要么把引号闭合，要么注释掉。。。这个问题。。。
LZ你可以在论坛搜索到答案的。。。
希望各位朋友在提问之前先利用论坛的搜索功能看看是否已经有类似的问题提出过~~~~

查看完整版本: [讨论]db权限下log备份问题

© 1999-2008 EvilOctal Security Team