相信大家对ASP+MSSQL注入都已经很熟悉了，连一个对SQL语法丝毫不懂的人也可以用NBSI来轻松入侵大量网站。但就算是一个SQL INJECTION高手，如果针对在MSSQL中只有db_owner角色,破不出猜不到网站后台的情况下，好像也无技可施；除了用备份得到shell的这个思路，我在网上实在没有找出更好的入侵办法。不过，备份得到的shell只是理论化的东东，如果一个webshell有20m

关于SQL SERVER的一些安全问题BY XUNDIxundi1@21cn.comwww.xfocus.org目前关于NT服务器的入侵，有很多种方法，如对IIS的漏洞进行利用，但大家不知道注意到没有，其实通过与NT服务器相关联的SQL数据库服务器的例子也是很有比例的一种手段。大家可以参看下面的一个新闻报道：http://www.vnunet.com/News/1110938。Herbless入侵