取代NBSI2：Opendatasource And Openrowset

目前市面上的SQL Injection工具很多，最受推崇的当属NBSI2了。SQL Injection的方法在网上也是满天飞，大家认真学一下都会很快成为脚本入侵"高手"。可是无论是工具，还是众多方法，猜SQL数据的时候原理不外乎两种：一个是对方的WEB服务器在没有关闭错误提示的时候，让SQL出错来暴出想要的信息；一个是在对方的WEB服务器关闭错误提示的时候，采用ASCII码拆半法分析。当关闭错误提示的时候，猜数据会很慢，遇到网速蜗牛的时候真是急死人，NBSI2此时还经常会出现"猜解错误，是否要重试"的警告对话框，真是麻烦。不过有了Opendatasource和Openrowset这两个函数，一切问题都应刃而解了。

        在SQL联机从书的解释中，对没有定义为链接服务器名称的OLE DB数据源执行不常用查询时，使用特殊名称。在SQL Server 2000中，Openrowset和Opendatasource函数提供了连接信息，借以从OLE DB数据源访问数据。Openrowset和Opendatasource只应在引用不常访问的OLE DB数据源时使用。对于需要经常访问的数据源，应定义链接服务器。无论Opendatasource还是Openrowset都不能提供链接服务器定义的全部功能，包括安全管理和查询目录信息的能力。每次调用这些函数时，都必须提供所有的连接信息（包括密码）。简单来讲，这两个宏也就是不依靠链接服务器来进行分布式查循。

         因为用Openrowset函数来直接获取注入数据库的信息的工具已经有了，我就不做详细地手工讲解了，在文章尾我会介绍此工具的简单用法，我这里着重来介绍一下Opendatasource的使用。联机丛书对Opendatasource宏的用法示例格式如下：

select *
FROM Opendatasource(
'SQLOLEDB',
'Data Source=ServerName;User ID=MyUID;Password=MyPass'
).Northwind.dbo.Categories

我们完全可以用此语句获得数据库的库名、表名、列名、字段值的所有信息——如果你还是不明白，那就来看我表演。

我在192.168.8.10这台服务器上构建了一个测试环境，写了一个有漏洞的ASP代码。两段代码中的e.asp代码如下：
<form action=f.asp method=get>
帐号lcx<br>
密码<input type=text size=100 name=password>
<input type=submit value=submit>
</form>
f.asp代码如下：
<% 
strSQLServerName = "127.0.0.1" 
strSQLDBUserName = "sa" 
strSQLDBPassword = "lcx" 
strSQLDBName = "bbsuser" 
Set conn = Server.createObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQLServerName & ";User ID=" & strSQLDBUserName & ";Password=" & strSQLDBPassword & ";Database=" & strSQLDBName & ";"
conn.open strCon
sql2="select * from bbsuser where username='admin' and password='"&request("password")&"'"
set rs2=conn.execute(sql2)
%>
<br>
<%=" 执行的SQL语句是"&sql2%>
<%
rs2.close
set rs2=nothing
conn.close
set conn=nothing
%>
当在文本框提交"1'and db_name()>0"的时候， 
我又在另一台服务器192.168.8.20装了一个SQL Server，sa的密码是lcx。因为Opendatasource宏走的是TCP协议，所以你要保证192.168.8.20的1433端口一定要被192.168.8.10访问到。OK，测试环境构建完毕，下面一起来看看如何入侵。

小提示：SQL Server SP2版本如果默认装在Windows XP SP2下的话，1433端口是不会被外界访问到的，这一点需要注意，建议打上SP3补丁。

[1] [2] 下一页