网络攻击和渗透中：注入信息无回显？(给盲注戴上眼镜)靶机实战利用Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

网络攻击和渗透中：注入信息无回显？(给盲注戴上眼镜)靶机实战利用Ecshop 2.x/3.x SQL注入/任意代码执行漏洞。

工具简介：

平常的漏洞检测或漏洞利用需要进一步的用户或系统交互。但是一些漏洞类型没有直接表明攻击是成功的。如Payload触发了却不在前端页面显示。(像ssrf，XXE，包括SQL盲注)，这样就无法确认漏洞存在。

这时候推荐使用CEYE平台。CEYE是一个用来检测带外（Out-of-Band）流量的监控平台，如DNS查询和HTTP请求。因为DNS在解析的时候会留下日志，咱们这个就是读取多级域名的解析日志，来获取信息，简单来说就是把信息放在高级域名中，传递到自己这，然后读取日志。

例如我们自己的域名是：bmjoker.org
那么我们把信息放在二级域名处，xxxx.bmjoker.org
想方法发起这个域名解析请求，那么那边就能收到xxxx这个信息了。

在注册页面注册后，会分给用户一个三级域名，你把信息写在第四级域名上就好了
例如我这里直接浏览器访问：bmjoker.wi0j1m.ceye.io