ASP漏洞全接触-入门篇(2)

　　看完第一节，有一些人会觉得：我也是经常这样测试能否注入的，这不是很简单吗？ 

　　其实，这并不是最好的方法，为什么呢？ 

　　首先，不一定每台服务器的IIS都返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，SQL注入是不会成功的，但服务器同样会报错，具体提示信息为处理URL时服务器上出错。请和系统管理员联络。 

　　其次，部分对SQL注入有一点了解的程序员，认为只要把单引号过滤掉就安全了，这种情况不为少数，如果你用单引号测试，是测不到注入点的 

　　那么，什么样的测试方法才是比较准确呢？答案如下： 

　　①http://www.19cn.com/showdetail.asp?id=49 

　　②http://www.19cn.com/showdetail.asp?id=49 ;;and 1=1 

　　③http://www.19cn.com/showdetail.asp?id=49 ;;and 1=2 

　　这就是经典的1=1、1=2测试法了，怎么判断呢？看看上面三个网址返回的结果就知道了： 

　　可以注入的表现： 

　　① 正常显示（这是必然的，不然就是程序有错误了） 

　　② 正常显示，内容基本与①相同 

　　③ 提示BOF或EOF（程序没做任何判断时）、或提示找不到记录（判断了rs.eof时）、或显示内容为空（程序加了on error resume next） 

　　不可以注入就比较容易判断了，①同样正常显示，②和③一般都会有程序定义的错误提示，或提示类型转换时出错。 

　　当然，这只是传入参数是数字型的时候用的判断方法，实际应用的时候会有字符型和搜索型参数，我将在中级篇的“SQL注入一般步骤”再做分析。

第三节、判断数据库类型及注入方法 

　　不同的数据库的函数、注入方法都是有差异的，所以在注入之前，我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer，网上超过99%的网站都是其中之一。 

　　怎么让程序告诉你它使用的什么数据库呢？来看看： 

　　SQLServer有一些系统变量，如果服务器IIS提示没关闭，并且SQLServer返回错误提示的话，那可以直接从出错信息获取，方法如下： 

　　http://www.19cn.com/showdetail.asp?id=49 ;;and user＞0 

　　这句语句很简单，但却包含了SQLServer特有注入方法的精髓，我自己也是在一次无意的测试中发现这种效率极高的猜解方法。让我看来看看它的含义：首先，前面的语句是正常的，重点在and user＞0，我们知道，user是SQLServer的一个内置变量，它的值是当前连接的用户名，类型为nvarchar。拿一个nvarchar的值跟int的数0比较，系统会先试图将nvarchar的值转成int型，当然，转的过程中肯定会出错，SQLServer的出错提示是：将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误，呵呵，abc正是变量user的值，这样，不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里，大家会看到很多用这种方法的语句。