△△△点击上方“蓝字”关注我****们了解更多精彩
0x01 正文
测试的时候遇到一个场景,SQLSERVER高版本下的普通用户权限注入,
使用sqlmap检测可以使用的注入方式有:
1、布尔注入
堆叠注入没有回显,只能选择布尔注入进行漏洞利用。
在Burpsuite面板的扫描结果中发现这个注入点还支持dnslog。
最终想到了通过dnslog辅助sqlmap利用注入漏洞。
搜索部分公开资料发现,基本上都是通过域名配置DNS服务器的方案。但是,这个方案需要自备2个域名、1个公网VPS服务器,所以贫贫很穷的我尝试寻找替代方案:
sqlmap Dns collaborator插件,通过burpsuite的dns功能进行SQLMAP数据接收。
在burp v2024.4.5、sqlmapv1.8、sqlmapv1.5上测试,发现sqlmap启动时无法正常通过DNS检测。
猜测是sqlmap版本不支持,大概需要修改sqlmap功能实现。
也有可能是Burp程序版本太高,没有兼容这个插件。
最终还是只能选择配置dns域名,但只有一个主域名,需要研究单域名下的配置。
查看指引发现,其实配置和以前配置常规dnslog服务器是基本相同的。
因此,也可以参考以前的单域名配置dnslog方案实现sqlmap数据泄露域名的配置
具体可以查看:
0x02 具体配置
基本需求:
DNS域名 1个
具体配置:
A记录 ns1 --> YOUR-VPS-IP
使用方式:
python sqlmap.py
配置成功运行时会提示 data retrieval through DNS channel was successful
0x03 总结
DNS外带确实能够很有效的提高数据泄露的速度,但限制很多,利用场景较少。
在SqlServer数据库场景下,一般都可以通过dnslog进行辅助测试,但是一般权限高的话很少会用到这个方案。
在Mysql数据库场景下,一般都不可以通过dnslog进行辅助测试,因为不仅需要Root权限,还需要Mysql运行在Windows类型服务器。
对于其它类型数据库,Oracle可能支持,POSTGRESQL可能不支持...
参考资料:
dnslog注入提升SQL时间盲注效率 – Zgao's blog
0x99 免责声明
在学习本文技术或工具使用前,请您务必审慎阅读、充分理解各条款内容。
1、本团队分享的任何类型技术、工具文章等文章仅面向合法授权的企业安全建设行为与个人学习行为,严禁任何组织或个人使用本团队技术或工具进行非法活动。
2、在使用本文相关工具及技术进行测试时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。如您仅需要测试技术或工具的可行性,建议请自行搭建靶机环境,请勿对非授权目标进行扫描。
3、如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。
4、本团队目前未发起任何对外公开培训项目和其他对外收费项目,严禁任何组织或个人使用本团队名义进行非法盈利。
5、本团队所有分享工具及技术文章,严禁不经过授权的公开分享。
如果发现上述禁止行为,我们将保留追究您法律责任的权利,并由您自身承担由禁止行为造成的任何后果。
END
如您有任何投稿、问题、需求、建议
请NOVASEC公众号后台留言!
或添加 NOVASEC 联系人
感谢您对我们的支持、点赞和关注
加入我们与萌新一起成长吧!
本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!!