从零跟我学黑客（八）――ＳＱＬ注入秘籍［３］.docVIP

从零跟我学黑客（八）――ＳＱＬ注入秘籍［３］ 　　朋友们，大家好，终于和大家再次见面啦!由于前段时间我参加了编程竞赛，所以一直很忙，中间间隔了几期没有给大家继续连载，请大家不要见怪哦。在上次的《SQL注入秘籍[2]》中，我通过“判断注入的存在→猜测字段数→猜测表名→爆出字段内容→入侵成功”这样的流程给大家详细介绍了初步的手工SQL猜解步骤，也有很多读者问我，如何确定数据库是ACCESS或是SQLServer等等。今天连同这些问题一并做个汇总和扩展给大家讲解下。 　　上篇文章讲的猜解方法针对于ACCESS和SQLServer都是有效的，但是今天可能会讲到服务器的自身系统变量，很多情况下只针对SQLServer有效果，ACCESS的功能确实是弱得可怜啊，没办法T_T。 　　 　　 　　判断Access和SQLServer的方法 　　 　　Access和SQLServer是最常见的数据库服务器了，它们都支持SQL语句的查询，但是SQLServer内置了很多的系统变量，我们可以通过它们来精准地判别两者。 　　 　　判断方法一：通过User＞O的方法判断 　　此方法还可以产生一个相当好的附加作用，直接得到当前数据库的用户名，这可是敏感信息哟!我们看图1，这是一个正常的页面，当我在它的URL后面提交and user＞0后，看到了什么?是不是爆出了出错信息啊(如图2)? 　　 　　说明这个网站的数据是用SQLServer进行管理的，下面我们来看看Access数据库会出现什么情况呢?打开一个网站(如图3)，当我在URL的参数后面提交and user＞0后，只是出现了页面的异常，却并没有出现提示错误的页面，说明这个网站肯定是一个Access数据库啦(如图4)! 　　 　　 　　原理解释：User是SQLServer的内置变量，他的数据类型为nvarchar，是一种字符类型。用一个字符类型的变量和一个整数类型的数字比较，它会出现错误提示，因为不可比较嘛!所以比较的过程被我们看到了，数据库用户名自然也就一览无余了。 　　 　　判断方法二：通过系统表进行判断 　　ACCESS的系统表是msysobjects，而SQLServer的系统表是sysobjects，前者在Web下是没有访问权限的，而后者在Web下可以访问无阻并正常读取。所以，在你确认目标网址可以注入的情况下，你可以使用下面的两条语句： 　　/xxx.asp?id=1 and(select count(*)fromsysobjects)＞0 　　/XXX.asp?id=1 and(select count(*)frommsysobject)＞0 　　如果当数据库是SOLServer时，上面页面正常，因为确实其中有这个库，但是下面的会提示出错，因为msysobjects库只存在于Access中，SQLServer中没有这个库，查找不到数据。如果是Access的话，运行两个页面都会显示出异常的页面来，因为不存在sysobiects库，所以找不到数据，而msysobjects可以找到，但是通过Web的访问被拒绝了。 　　如果提交第一个URL就正确的话，那么下面那个也就不用去尝试了，因为这肯定是SQLServer(如图5)。 　　 　　 　　读取MSSQL数据库中的所有表和字段 　　 　　在上一篇文章中，我为大家讲解的是，如何通过猜解来获得网站数据库的库名，表名和字段名，对经验的要求比较高。今天为大家讲解另外一种实打实的方法――读取法，一个个让服务器自己把库名、表名、字段名给爆出来，是不是很诱人呢?附加说明，本部分的方法对MSSQL不通杀，条件是目标数据库服务器上的MssQL必须开通了显错模式才能成功，而在上一篇文章中讲解的猜解法是适用所有MssQL的。 　　 　　获取当前使用表和列名 　　提交这样的uRL:http://bnrc.cs.XXXX.cn/paper_ out_detail.asp?id=311％20having％201=1％20――，出现了MssQL数据库爆出错误信息： 　　Microsoft OLE DB Provider for ODBC Drivers错误80040e14′ 　　[Microsoft][oDBC SQL Server Driver][SQL Server]列′paper.paper_name。在选择列表中无效，因为该列来包含在聚合函数中，并且没有GROUPBY子句。 　　 　　/paper_out_detail.asp，行39 　　好，下面我们把这段错误信息简单地解释下吧。“――”在sQL Server中是注释符号的意思，可以将它后面的SQL语句全都“废”掉，免得那些正常的网站数据查询影响我们