Как можно раскрыть директорию сайта имея багу mssql injection? (права dbo).
Можно конечно делать "dir" начиная с корня, при этом загоняя результат в таблицу и читать его. Но это сложный путь.

имхо средствами mssql никак, т.к. расположение файлов БД да и впрочем самого сервера не связано с расположением файлов сайта

Жаль.
Придется юзать крайне не удобный метод:
select top 1 result from tmp_table where num > 5 and num < (select max(num) from tmp_table) - 2 и тд.

могу тоько посоветовать посмотреть бд сайта, возможно там есть таблички и колонки в которых есть какие то пути

Во точно, бывают таблицы с site settings. Спасибо за совет.