參加IT認證考試前，筆者習慣到網上去搜搜。亂逛之余，不小心就來到了PROMETRIC的中文站。筆者發現整個站點都是ASP程序，況且剛才還有個考場的登錄界面，要是能發現什么漏洞就好了。

探測漏洞

隨手找了個頁面(http://www.promet.ric.com.cn/openpage.asp?page_id=0)，在參數0后面加上個單引號。返回的頁面顯示：500服務器內部錯誤。在IE的“Internet選項→高級”中有一個“顯示友好HTTP錯誤信息”的選項，取消前面的鉤。現在，我們可以看到詳細的錯誤信息：

Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80040e14'　

[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near ''./audIT.asp，行18??

原來PROMETRIC用的是MSSQL，看來存在嚴重的注入漏洞(由于涉嫌攻擊步驟，此處不詳細敘述)。

漏洞原理

SQL注入的漏洞通常是由于程序員對它不了解，設計程序時某個參數過濾不嚴格所致。就拿剛才測試用的鏈接中的page_id這個參數來講，肯定就沒有進行過濾檢查，源程序中的查詢語句如下所示：

?Select * From Table Where page_id='0'??

當我們提交http://www.prometric.com.cn/openpage.asp?page_id=0 and 1=1時，

查詢語句就變成了：

Select * From Table Where page_id='0' and 1=1??

當我們提交其他的查詢語句時，程序也會進行執行判斷，如：

http://www.prometric.com.cn/openpage.asp?page_id=0 and user>0　

查詢語句變成了：

Select * From Table Where page_id='0' and user>0??user是MSSQL的一個內置函數，指的是當前連接數據庫的用戶名，是一個nvarchar值。當它與整型量0進行大小比較時，MSSQL會試圖將user的值轉換成int類型，于是MSSQL就會報錯：

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'web' to a column of data type int.

錯誤信息的后面顯示的是庫名、表名、數據等。如果對方屏蔽了錯誤信息呢？這時，我們就要利用Unicode、Substr等函數通過條件判斷來進行猜測了。??

如何利用　

大家可以利用小竹開發的NBSI2 MSSQL(以下簡稱“NBSI2”)工具。不過大家要注意，工具永遠只是工具，只能用來提高效率和準確性，自己一定得了解原理。