mssql数据库
版本信息: Microsoft .NET Framework 版本:1.1.4322.2032; ASP.NET 版本:1.1.4322.2032


有一注射点：DB_OWNER权限　支持多行操作　

用工具注射，能看到CDEF盘中的文件，但是就是找不到WEB目录＜盘中的文件非常少，根本就没有WEB目录＞，只有备份的数据库。


站下有一DVBBBS，但是没有和WEB不在同一服务器，现在还不清楚数据库到底在WEB服务器还是在BBS服务器？

请教高手..

1：可不可能服务器设置的问题，可以浏览盘中其它信息不能读WEB目录？


2：xp_cmdshell 删除了，并且不能成功恢复。网上说的，手动注入找路径就没办法了....还有其它方法么？

[ 本帖最后由 风云逸剑 于 2007-4-11 09:01 编辑 ]

1.实在找补到web目录那就是WEB和数据库分离了。。。
2.你不是说是db权限么  那你怎么回知道cmdshell被删除了？  。

引用:

原帖由 wyzhack 于 2007-4-11 08:08 发表
1.实在找补到web目录那就是WEB和数据库分离了。。。
2.你不是说是db权限么  那你怎么回知道cmdshell被删除了？  。

WEB和数据库分离－－－确实是这样的。
但我不明白
ping www.xxx.com -->>IP:111.111.222.222 那这个ip应该是WEB服务器的IP呀，怎么成了数据库IP了？


cmdshell被删除：＜不知道是不是这样的＞
　
;exec%20master..xp_cmdshell%20'dir%20c:\'


%20and%201=(SELECT%20count(*)%20FROM%20master.dbo.sysobjects%20WHERE%20xtype%20=%20'X'%20AND%20name%20=%20'xp_cmdshell')

;EXEC%20master.dbo.sp_addextendedproc%20'xp_cmdshell',%20'xplog70.dll'

返回都错误！

[ 本帖最后由 风云逸剑 于 2007-4-11 09:35 编辑 ]

WEB和数据库分离－－－确实是这样的。
但我不明白
ping www.xxx.com -->>IP:111.111.222.222 那这个ip应该是WEB服务器的IP呀，怎么成了数据库IP了？

这个ping到的本来就是网站的ip啊 。 不是数据库的

cmdshell被删除
;exec%20master..xp_cmdshell%20'dir%20c:\'  db权限不能执行这个命令

%20and%201=(SELECT%20count(*)%20FROM%20master.dbo.sysobjects%20WHERE%20xtype%20=%20'X'%20AND%20name%20=%20'xp_cmdshell')  这个命令我不清楚  应该是可以执行的  如果返回错误的话那就有可能是删了。  不过就算没删也没用你是db权限用不了~

谢了楼上的祥细解答.....

这种分离式的，我是搞不定了...

8客气。。

虚拟机

看高手回贴也是一种学习的方 发