扔掉工具 跟我一起学ASP手工注入!    九世草木
前言：
现在的网络，脚本入侵十分的流行，而脚本注入漏洞更是风靡黑客界。不管是老鸟还是新起步的小菜，都会为它那巨大的威力和灵活多变的招式所着迷！
正是因为注入攻击的流行，使的市面上的注入工具层出不穷！比较出名的有小竹的NBSI、教主的HDSI和啊D的注入工具等等！这大大方便的小菜们掌握注入漏洞！可是，工具是死的，注入的手法却是活的，能否根据实际情况灵活地构造SQL注入语句，得到自己想要的信息，是[被屏蔽的不受欢迎关键词]高shou与小菜的根

信息来源：ITS

最重要的表名：
select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses
当然还有很多啦哦 这就看你自己在实际操作中的应用啦!:)

最重要的一些用户名（默认sql数据库中存在着的）
public
dbo
guest(一般禁止，或者没权限)
db_sercurityadmin
ab_dlladmin

一些默认扩展

xp_regaddmultistring
xp_regdeletekey

文章作者：lovezy
信息来源：www.wrsky.com

用SQL连接器恢复XP_CMDSHLLE的命令

（1）SQL Query Analyzer
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'

（2）首先在SqlExec Sunx Version的Format选项里填上%s，在CMD选项里输入

sp_addextendedproc 'xp_cmdshell','xpsql70.dll'

去除

sp_dropextendedproc 'xp_cmdshell'

（3）MSSQL2000

sp_addextendedproc 'xp_cmdshell','xplog70.dll'

修改sa密码 sp_p

文章作者：JSW（监视我）  
信息来源：黑客基地

前言：  
这篇文章是我很久以前的作品了，写完后才知道isno也写了一篇。当我看过isno的那篇后发现了我的文章错了好多个地方，后来我对这篇文章做了一些修改，希望对读者能够有所帮助。  
【什么是SQL Injection】  
SQL Injection应该称为SQL指令植入式攻击，主要属于Input Validation的问题，它是描述一个利用写入特殊SQL程序码攻击应用程序的动作。  
【SQL Injection的原理】