|
DNSlog 注入 Dns是域名解析系统,当我们在浏览器请求www.baidu.com时,dns服务器会找到与www.baidu.com域名对应的ip,并返回给浏览器,使浏览器可以访问这台服务器上对应的服务。 dnslog就是存储在dns 服务器上的域名解析记录,dnslog记录着浏览器对域名访问的信息。 dnslog注入使用场景:当web应用程序有sql注入漏洞时,且页面无回显,利用盲注二分法发送大量请求容易被防守方检测设备检测到流量,可能会被封ip,在这种情况下我们可以使用dnslog注入,把请求的内容外带出来,通过查询dnslog得到想要的结果。 使用Dnslog注入的条件: 1 用户具有文件读写权限 2 可以使用union查询 3知道要读文件的绝对路径 (1)查询用户的文件权限
(2)在www.dnslog.cn平台上获取一个子域名
(3)结合load_file()函数进行文件读取,查询当前数据库名
(4)在dnslog日志中查询到当前数据库为security
(5)查询当前数据库版本
(6)在dnslog日志中查询到当前数据库版本为5.5.47
| 
提升卡
变色卡
千斤顶
照妖镜
