0x01 DNSLOG原理
我们在测试一些网站的时候,会遇到一些网站注入是无回显的,这个时候一般就直接丢sqlmap,或者我们自己写个脚本来进行盲注,但是尝试次数太多,很有可能被ban掉ip,所以往往盲注的效率真的很低,然后某一天新的技术就产生了,也就是DNSlog注入。
具体原理如下:
首先需要有一个可以配置的域名,比如:dnslog.cn,然后通过代理商设置域名 dnslog.cn 的 nameserver 为自己的服务器 A,然后再服务器 A 上配置好 DNS Server,这样以来所有 dnslog.cn 及其子域名的查询都会到 服务器 A 上,这时就能够实时地监控域名查询请求了,图示如下:
DNS在解析的时候会留下日志,dnslog.cn这个平台就是读取多级域名的解析日志,来获取信息的,简单来说就是把回显信息放在高级域名中,然后读取日志,获取信息。如图所示:
可以看到我们执行了一个简单的for循环语句,这是为了能把whoami的回显,在ping命令执行之前带出,然后载入变量i,从而拼接ping语句,执行的结果就是我们的主机名被ping命令代入到了三级域名中,从而可以在dnslog平台看到。
0x02 DNSLOG XSS
虽然dnslog很方便,但是随之而来的问题也来了,部分dnslog平台并未对传回的dns日志内容进行过滤或者限制,但是在一般的情况下,域名只支持数字以及字母,是不支持传输特殊字符的,如图所示:
但是如果我们稍微变换一些思路,用nslookup强制DNS查询就会发现传输字符并没有限制,然后我们只要稍微构造一下语句就可以造成xss攻击,如下图:
0x03 溯源&反制
有幸在几个月前参加了一下内部的小型攻防比赛,蓝队被要求溯源到确切的攻击者画像并进行反制,其实在没有蜜罐等措施部署下,获取攻击者画像还是比较困难的,但是我们设想一下,如果攻击者通过dnslog平台进行盲注,或许我们可以通过这个xss漏洞反爆红队的菊花。
已经和dnslog.cn的站长师傅沟通确认过,并修复了漏洞,以上内容如有误望请各位师傅斧正,如需转载请注明原著。
本文始发于微信公众号(渗透云笔记):DNSlog平台通用XSS
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论