公司做网站需要准备什么资料,个人网站被黑了,商务网站建设pdf,网站没有后台登陆文件夹dnslog注入是解决注入的时候没有回显的情况#xff0c;通过dns外带来进行得到我们想要的数据。 我们是用了dns解析的时候会留下记录#xff0c;这时候就可以看见我们想要的内容。 这个时候我们还要了解unc路径以及一个函数load_file()以及concat来进行注入。看看我的笔记 unc… dnslog注入是解决注入的时候没有回显的情况通过dns外带来进行得到我们想要的数据。 我们是用了dns解析的时候会留下记录这时候就可以看见我们想要的内容。 这个时候我们还要了解unc路径以及一个函数load_file()以及concat来进行注入。看看我的笔记 unc路径我们简单点来说我感觉就是共享的文件我自己的理解哈。 load_file(文件)这个函数也就是把文件当做字符串来进行输出。但是我们要使用dnsllog注入的要求就比较的严格了我们要对文件有读写的权限并且还应该具有root权限。 先来看看sqlmap跑的结果然后在说说手工该怎么来进行注入。 使用的参数就加上多加上这些参数 --techniqueT --dns-domain 域名 这点也就是判断出来了注入点然后就直接进行爆后面的数据然后我们在来爆到数据库 然后在爆到列名也是flag 然后就直接输出我们想要的数据也就是flag我们就直接看结果 工具就是这样来操作跟上我们要的dnslog的参数这样就可以了。我们不能直接进行sqlmap盲注这样容易被对方给封ip所以我们前面要进行一些手工注入我们来看看手工注入。 还是一样的操作我们先来进行判断是字符型还是数字型 经过我的判断这点是字符然后闭合的方式是‘来进行闭合的 下面是正常的回显 然后把and12过后就发现是错误的回显也就是找到了闭合的方式是’(单引号)来进行闭合的
然后这点我们开始正常的注入开始判断字段名发现并没有正常的回显
也就是我们不能够使用union select联合注入我们这点也就是要找其他的方式 我们在试试报错注入然后发现也没有报错回显给我也只有想想其他的 然后我们在看看其他的方法该怎么办进行如果直接使用盲注太麻烦了直接使用sqlmap跑的话容易被检测到而且直接使用sqlmap跑的话容易被检测到先手工试试dnslog注入看看怎么样 然后我们在来试试dnslog的注入看看怎么办来解决这个问题。手工的好处也就是说没有误报更加的准确然后不容易被检测到。 我也不知道是不是网站的问题我就是解析不到dns日志后面在看看是什么问题。 我今天就写到这点吧我后面在搭建自己的服务器然后在来试试这个dnslog注入。
