3。利用多語句執(zhí)行漏洞。 
　　根據(jù)上面的思路，如果用戶根據(jù)書名(例如linux入門)查詢所有的書，SQL語句為 
　　select book.name,book.content from book where bookname='linux入門' 
　　如果我們輸入的不是linux入門而是 linux入門' delete from user where '1' = '1 
　　從而構(gòu)成對表的刪除。 
　　成功的前提條件是對方允許多條語句的執(zhí)行。 
　　由于程序沒有處理邊界符“'”產(chǎn)生的漏洞的危害程度和結(jié)果集的類型及數(shù)據(jù)庫的配置有很大的關(guān)系。首先說結(jié)果集，如果結(jié)果集只支持單條的SQL語句，那么你所能做的只是上面提到的那種在密碼框內(nèi)輸入' or '1' = '1來登錄，其他的做不了。  
　　我們還可以用這種方法在數(shù)據(jù)庫里增加用戶。 
　　4。SQL Server裝完后自動創(chuàng)建一個管理用戶sa，密碼為空。而好多人裝完后并不去改密碼，這樣就留下了一個極大的安全問題，我稍后再細(xì)說。 
　　程序中的連接一般用兩種，不是用global.asa就是用SSL文件。SSL文件一般人習(xí)慣放到到Web的/include或/inc目錄下。而且文件名常會是conn.inc、db_conn.inc、dbconninc，等等，反正有時能猜到。 
　　如果這個目錄沒有禁讀，一旦猜到文件名就可以了，因為.inc一般不會去做關(guān)聯(lián)的，直接請求不是下載就是顯示源文件。 
　　還有當(dāng)主要程序放到一個后綴為.inc的文件而沒有處理“'”，當(dāng)運行出錯時返回的出錯信息中常會暴露.inc文件，我遇到過幾次這樣的情況。其實可以在IIS里設(shè)置來不回應(yīng)腳本出錯信息的。 
　　5。數(shù)據(jù)庫的利用。 
　　如果程序中的連接用戶權(quán)限極小，甚至多數(shù)表只能讀，你就很難有所作為了。這時所能做的是能猜出表名和字段名來進(jìn)行刪除數(shù)據(jù)或表的操作。 
　　INSERT語句利用起來討厭一些，主要是里面有好多列，而且還要處理掉最后的“)”。 
　　我就以我最熟悉的MS SQL Server來說一些吧。它的默認(rèn)端口號是1433，你用telnet連一下服務(wù)器的這個端口，如果能連上去一般是裝了MS SQL Server，當(dāng)然這是可以改掉的。 
　　好了，說一說數(shù)據(jù)庫的利用。 
　　如果對方的數(shù)據(jù)直接在Web服務(wù)器上而且你知道端口號，有帳號就干脆用SQL Analyzer來直接連接數(shù)據(jù)庫。在它里面可以執(zhí)行SQL語句。常用的是存儲過程master.dbo.xp_cmdshell，這是一個擴展存儲過程，它只有一個參數(shù)，把參數(shù)做為系統(tǒng)命令來裝給系統(tǒng)執(zhí)行。 
　　如果是管理用戶就有權(quán)執(zhí)行這個存儲過程，而且這時可以執(zhí)行很多操作，如用ipconfig來看ip設(shè)置，用net user來看系統(tǒng)用戶。不過用net user /add 用戶名 密碼并不一定成功，有時會返回一個“指定的登錄會話不存在”而不能執(zhí)行，原因我還不清楚。 
　　如果沒有權(quán)限也不要緊，MS SQL Server有個漏洞，你可以創(chuàng)建一個臨時存儲過程來執(zhí)行，就可以繞過去，如： 
　　CREATE PROC #cmdshell(@cmdstr varchar(200)) 
　　AS 
　　EXEC master.dbo.xp_cmdshell @cmdshell 
　　當(dāng)然這時是沒有權(quán)限執(zhí)行net user /add等的，不過可以查看，可以創(chuàng)建文件。 
　　反復(fù)用echo創(chuàng)建一個FTP腳本，把木馬傳到一個FTP站點上，然后用存儲過程調(diào)用ftp來利用腳本來下載并安裝，然后......呵呵:) 
　　如果數(shù)據(jù)庫沒有裝在Web服務(wù)器上所以沒有找到或改了端口號而一時找不到還是有辦法的。 
　　如果數(shù)據(jù)庫服務(wù)器直接從Internet上無法訪問，你可以利用程序里的漏洞來刪除、修改數(shù)據(jù)或加入javascript語句到數(shù)據(jù)庫，通常他們顯示本來應(yīng)該自己人錄入的數(shù)據(jù)時不去過濾<>，所以可以用javascript把它轉(zhuǎn)到其他站點上或做些什么。 
　　如果只是改了端口號就要看程序里數(shù)據(jù)庫用戶的權(quán)限了，如果是管理用戶，可以用' exec master.dbo.xp_cmshell 'net user /add aaa bbb來創(chuàng)建一個操作系統(tǒng)用戶，然后再用' exec master.dbo.xp_cmdshell 'net localgroup /add administrators aaa來把它升級為超級用戶。 
　　如果這臺服務(wù)器的NetBIOS綁定了TCP/IP，而且C$、D$等管理共享存在，呵呵，恭喜了，你在DOS命令下用net use Z: \ip address$ "bbb" /user:"aaa"就可以把對方的整個C盤映射為你本地的一個網(wǎng)絡(luò)驅(qū)對器Z:了。 
　　6。數(shù)據(jù)庫里如何留后門。 
　　創(chuàng)建用戶的sp_addlogin、權(quán)限分配的sp_addsrvrolemember是用一條語句來判斷用戶是否有權(quán)限執(zhí)行，也就是說用戶都可以執(zhí)行它，它再來判斷用戶是否有權(quán)執(zhí)行。 
　　當(dāng)你攻入一個數(shù)據(jù)庫時可以用它的Enterprise Manager來連上去修改這些存儲過程，因為這些存儲過程都沒有加密。 
　　可以在判斷的地方加個條件，當(dāng)這個條件滿足時就不直接執(zhí)行下去而不管是什么權(quán)限的用戶調(diào)用它。 
　　不過改完要注意，這時它的Type成了User，要想改回可以到sysobjects表中把name為sp_addlogin的一條刪除，然后再把沒有改過的相同版本的MS SQL Server的同一條記錄拷貝進(jìn)去就可以了。 
　　當(dāng)然不要忘了這些默認(rèn)是不能手工修改的，要修改得先把掉SQL Server的參數(shù)，改完不要忘了再改回來啊:) 這時只要網(wǎng)站的程序有問題，不管程序中的用戶權(quán)限如何，你都可以隨時創(chuàng)建SQL Server的管理用戶。 
　　7。數(shù)據(jù)庫掃描工具。 
　　ISS DATABASE Scanner  淺談數(shù)據(jù)庫的攻擊(薦)
　　1。突破script的限制。 
　　例如，某網(wǎng)頁上有一文本框，允許你輸入用戶名稱，但是它限制你只能輸入4個字符。許多程序都是在客戶端限制，然后用msgbox彈出錯誤提示。如果你攻擊時需要突破此限制，只需要在本地做一個一樣的主頁，只是取消了限制，通常是去掉VBscript或IavaScript的限制程序，就可以成功突破。 
　　如果是javascript做的，干脆臨時把瀏覽器的腳本支持關(guān)掉。如果是 
有經(jīng)驗的程序員常常在程序后臺再做一遍檢驗，如果有錯誤就用response.write或類似的語句輸出錯誤。