利用DNS协议回显数据

去年提出的这个问题，在公司大佬们的帮助下，我终于理解了其原理，并利用了 ceye 平台成功进行了复现。

这里我将对原理进行总结，并展示如何利用 CEYE 平台进行复现。

原理分析

虽然这个漏洞利用了 mysql 的 LOAD_FILE 函数，但其本质是利用了 Windows 资源管理器，通过 // 协议进行子域名的 DNS 解析，将有用信息作为子域名传递出来。

DNS 解析基本原理

首先，让我们了解一下 DNS 解析的基本过程：

详细解释 DNS 域名解析过程如下：

1. 当你在电脑上打开浏览器并输入一个域名（如 www.163.com）时，你的电脑会向本地 DNS 服务器（通常由网络服务提供商如中国电信或中国移动提供）发送一个 DNS 请求。

2. 本地 DNS 服务器首先会检查其缓存记录，如果找到该域名的记录，直接返回结果。如果没有找到，它会向 DNS 根服务器查询。

3. 根 DNS 服务器不直接记录域名和 IP 地址的对应关系，而是指导本地 DNS 服务器到 .com 域服务器继续查询，并提供该域服务器的地址。

4. 本地 DNS 服务器接着向 .com 域服务器发送请求，.com 域服务器会告知本地 DNS 服务器该域名的解析服务器地址。

5. 最后，本地 DNS 服务器向该域名的解析服务器发送请求，获取域名和 IP 地址的对应关系，并将结果返回给用户电脑，同时将该对应关系缓存起来，以便下次查询时加速访问。

总结：

当你查询 abc.hack.com 这样的子域名时，hack.com 的 DNS 服务器会收到你的解析请求，这就是 out_of_band 利用的原理。

从 Windows 资源管理器的角度

为什么我说这是对 Windows 资源管理器的利用？下面进行演示：

当你在资源管理器地址栏输入 u0ocor.ceye.io（我的测试账号的 DNS 解析服务器地址）时，你的测试服务器会收到 DNS 解析请求，并记录下来（资源管理器这里不好截图）。

数据库漏洞复现

当你存在注入点时，如果查询结果不会回显，这个 out_of_band 就非常有用了。这里我们直接从数据库开始，不设计后端查询代码。

测试环境：

参数 secure_file_priv 是全局变量，可以通过以下语句查询：

A 机：

B 机：

解释：

这个变量用于限制数据导入和导出操作的影响，如 LOAD DATA、select…INTO OUTFILE 语句和 LOAD_FILE() 函数。

1. 如果变量设置为目录名称，服务器会将导入和导出操作限制在该目录中。该目录必须存在，服务器不会自动创建。

2. 如果变量为空，不会产生影响，可能会导致不安全的配置。

3. 如果变量设置为 NULL，服务器会禁用导入和导出操作。从 MySQL 5.5.53 版本开始允许设置为 NULL。

在 MySQL 5.5.53 之前，此变量默认为空，因此可以使用这些函数。但在 5.5.53 之后的版本中，NULL 值会禁用这些功能。（根据两台测试机器不同版本的 MySQL 来判断，可能会默认为 MySQL 的 /upload 根目录）

补充两个机器的 MySQL 版本：

A 机：

B 机：

复现

在满足上述全局变量条件下，注意以下四点：

1. 最大查询长度问题，文件的大小限制。
2. 文件编码是否与数据库相同。
3. 绝对路径需要使用 //。
4. 子域名最大长度问题，DNS 规定，域名中的标号由英文字母和数字组成，每个标号不超过 63 个字符，不区分大小写字母。标号中除连字符（-）外不能使用其他标点符号。

下面进行演示：

A 机：

效果如图：

B 机：

效果如图：

至于能读取什么文件或查询什么数据，取决于具体情况和需求。读取文件时需要考虑文件权限、编码等问题。

漏洞限制

1. 限制在 Windows 系统，因为原理是利用了 LOAD_FILE 在 Windows 中读取文件时利用了资源管理器（可能不准确，未具体研究，但能与资源管理器进行相同的 DNS 查询操作，官方文档中未提及）。

2. 在 MySQL 5.5.53 之前，参数 secure_file_priv 一直为空，可以任意读取文件。在我的测试中，之后的 MySQL 版本已对此有所限制（目录限制，无法随意读取文件）。

3. 漏洞的利用点不一定限于数据库（更不限于 MySQL），如果你能唤起 Windows 的资源管理器，就可以成功利用这个 DNS 通道查询传输信息。

知识扩展

一些可用 payload：

• Windows:
• SQL Server:
• oracle:
• MySQL:
• postgresql:
• xml Entity Injection
• Struts2
• FFMpeg
• Weblogic
• ImageMagick
• Resin
• Discuz

扩展玩法

从这个漏洞出发，拓展到任意主机上，这是一种利用 DNS 进行内网穿透传输信息的技术，可以应用于某些渗透场景。

用 Kali 演示了一个小脚本：

推荐一个工具：dnscat2，

下载地址：

dnscat2 提供客户端和服务端。

使用的条件：

1. 一台 VPS
2. 一个域名控制权限
3. 一台内网权限

具体使用可以结合两篇博客进行学习，这里不做演示，扩展阅读：

• 利用 DNS 隧道传递数据和命令来绕过防火墙
• 利用 PowerShell 和 Dnscat2 绕过防火墙

技术有限，如文中有理解错误的地方，希望大家指出，我将及时进行更正。