SQL注入——DNSLOG注入

已于 2023-02-28 15:58:03 修改
阅读量690 收藏 2
点赞数
分类专栏: 农夫安全学习 文章标签: sql 服务器 网络
于 2022-11-17 18:42:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52263650/article/details/127909241
版权

SQL注入——DNSLOG注入

SQL注入——DNSLOG注入

一、原理

当我们遇到盲注漏洞的时候,注入过程没有回显,手工测试会花费大量的时间,如果用sqlmap跑数据的话,实际应用中很可能被目标服务器直接封IP,这时候我们可以利用DNSLOG注入将盲注变成显注,在DNS解析日志中获得回显,从而节省了大量的时间。

当我们试图访问域名的时候,首先会经过DNS域名解析,这个过程中会在域名解析服务器的日志中留下解析记录
在这里插入图片描述
当dns服务器是我们自己的时,我们就可以通过查看日志来查询一些信息

将dnslog平台中的特有字段payload带入目标发起dns请求,通过dns解析将请求后的关键信息组合成新的三级域名带出,在dns服务器的dns日志中显示出来。
在这里插入图片描述

参考文章:【渗透测试】DNSLog注入

BB两句,人家写的真的好,我还写啥啊😒😒😒😭😭😭

布里丹的毛驴
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入——mssql注入
01-19
可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_...
SQL注入DnsLog注入
qq_52310755的博客
03-22 1876
远程访问UNC路径中主机的地址,如果是域名将会进行解析并留下记录,通过查看DNS解析记录(DNS日志)来达到有回显的目的。DnsLog注入就是利用load_file()函数访问远程文件的特点,对延时盲注等无回显的注入或其他无回显的攻击带来回显。正常来讲每个查询记录都会在相应DNS服务器上留下相关的查询日志,一般来说企业或者自己部署的DNS在上图标红位置处,Ps:如果paylaod没有问题但一直刷新不出来可能是谷歌浏览器的问题,换个浏览器访问一下就可以了。,下面以盲注为例,需要有盲注的基础。
SQL注入-DNSlog注入(手工加工具使用)
BING
04-17 6570
DNSlog注入
SQL注入DNSLog外带注入
dragon的博客
02-21 2302
什么是dnslog呢?DNS就是域名解析服务,把一个域名转换成对应的IP地址,转换完成之后,DNS服务器就会有一个日志记录本次转换的时间、域名、域名对应的ip、请求方的一些信息,这个日志就叫DNSLog。但是想要查看DNSLog信息的人,必须是拥有DNS服务器权限的人,这就使的我们要是用dnslog注入方法的话,就需要搭建自己的一个dns服务器,成本相对较高。所以在此就推荐两个平台,可以快速让我们使用dnslog外带注入也可以使用BurpSuite同样可以实现相应功能。
sql 注入 Dnslog
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-12 315
通常我们面对SQL注入过程中没有回显的情况下,只能通过盲注的方式来判断是否存在SQL注入,但是,使用盲注,手工测试是需要花费大量的时间的,可能会想到使用sqlmap直接去跑出数据,但在实际测试中,使用sqlmap跑盲注,有很大的几率,网站把ip给封掉,这就影响了我们的测试进度,也许你也可以使用代理池。。。
sqlmap结合dnslog快速注入
weixin_67259816的博客
05-22 657
该文章记录了搭建dns服务器,和使用sqlmap结合dnslog快速注入数据
sql注入攻击流量情况
07-18
sql注入攻击流量情况
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
SQL 注入天书.pdf
08-06
SQL 注入学习天书
sql注入资料.zip
最新发布
04-17
QL注入SQL Injection)是一种针对数据库驱动的应用程序的安全漏洞攻击技术。攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而实现对数据库的非法访问和操作。SQL注入不仅可能导致数据泄露、...
Mssql注入——dns注入,反弹注入
weixin_46601374的博客
02-28 2630
DNS注入 DNS注入原理 通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录 此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。 load_file函数的作用 用于读取文件内容,并返回输出 load_file函数是什么 load_file 读取文件函数,读取的内容返回为字符串输出。 load_file函数在注入的作用 利用读取注入的报错信息,然后返回报错信息(显
SQL注入-盲注-时间注入-报错注入-布尔盲注-DNSlog注入-宽字节注入-WAF绕过-SqlMap使用
VictorZhang
07-30 5767
Sqli-labs的安装 1.安装WAMP http://www.wampserver.com/ WAMP是php + mysql + Apache环境集成工具 2.下载Sqli-labs https://github.com/webattacker/sqli-labs 将Sqli-labs解压后整个目录拖拽到路劲:C:\wamp64\www 下 3.在浏览器上访问http://localhost...
SQL注入-有回显】DNS请求注入:原理、平台、使用过程、配置
06-14 1486
SQL注入-有回显】
SQL DNSlog注入详解
永远是少年
08-07 1302
今天继续给大家介绍Linux运维相关知识,本文主要内容是SQL DNSlog注入。 一、SQL DNSlog注入简介 二、SQL DNSlog注入实战
sql注入sqlmap+DNSlog外带数据 注入复现
C_LCH_2000的博客
08-19 1891
DNSlog注入 dnslog注入原理通过子查询,将内容拼接到域名内,查询相应的dns解析记录,来获取我们想要的数据 利用场景 在sql注入为布尔盲注、时间盲注时,如果遇到大量的数据,注入的效率将十分低下且耗时,用sqlmap还容易被waf拦截,IP被ban,这种情况就可用利用内置文件读取函数 load_file()来完成 DNSlog注入
DNSlog注入(利用DNSlog平台将SQL盲注变成回显注入
柠檬i的博客
08-07 976
DNSlog注入是一种利用DNS服务器记录域名解析请求的特性,来获取SQL注入结果的技术。它的原理是通过构造一个包含数据库信息的子域名,然后使用MySQL的load_file函数或其他方法,让目标服务器DNS服务器发起解析请求,从而在DNS服务器上留下注入结果的痕迹。
SQL注入——DNSlog手动注入
heyingcheng的博客
03-11 343
手动注入对waf的绕过有很大的帮助,但是效率比较低。DNSlog手动注入的条件和文件上传注入一样,也需要mysql有文件的读写权限。
DNSLog注入SQLmap工具使用
2301_80034711的博客
03-18 817
DNSLog就是储存在DNS上的域名相关的信息,它可以记录我们对域名或者IP的访问信息,类似一个日志文件。比如说现在有一个xxx.aaa.com的域名(从右到左分别为顶级域名、二级域名、三级域名),将其域名设置对应的ip1.1.1.1我们向dns服务器发起aaa.com的解析请求时,DNSlog就会记录下对aaa.com的解析,那么解析值就为1.1.1.1,这样被记录下来的过程就是DNSLogSqlmap是一个使用python语言开发的开源的渗透测试工具,可以利用SQL注入漏洞,获取数据库服务器的权限。
sql注入外带dnslog
09-11
很抱歉,我不能提供关于SQL注入外带DNS log的任何信息。 SQL注入是一种安全漏洞,允许攻击者通过在应用程序中插入恶意SQL代码来获取未经授权的访问权限或者对数据库进行操纵。这是一种严重的漏洞,应该被尽快修复。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值