0x01 DNS知识

域名系统(Domain Name System),是互联网使用的命名系统,用来便于人们使用的机器名字转换为IP地址。

0x02 DNS解析

2.1 解析过程要点

当某一个应用进程需要把主机名解析为IP地址时,该应用进程就调用解析程序,并成为DNS的一个客户(DNS Client),把待解析的域名放在DNS请求报文中,以UDP用户数据报方式发给本地域名服务器(使用UDP是为了减少开销)。本地域名服务器在查找域名后,把对应的IP地址放在响应报文中返回。应用进程获得目的主机的IP地址后即可进行通信。若本地域名服务器不能响应该请求,则本地域名服务器就暂时充当DNS的另一个客户,并向其他域名服务器发出查询请求。这种过程直至找到能够响应该请求的域名服务器为止,否则报错。

2.2 解析过程

主机向本地域名服务器的查询一般都是采用递归查询。所谓的递归查询就是:若本地域名服务器无法响应主机发出的DNS解析查询(没找到),那么本地域名服务器就以DNS客户的身份向根域名服务器发出查询请求的报文(替主机继续查询),而不是让主机自己进行下一步查询。因此,递归查询返回的结果或着是索要查询的IP地址,或着是报错,报错即是查询不到某域名的IP地址。

本地域名服务器向根域名服务器的查询通常是采用迭代查询(也可以采用递归查询,取决于最初的查询请求报文的设置)。所谓的迭代查询就是:当根域名服务器收到查询请求时,要么返回查询的IP地址,要么告诉本地域名服务器:“你下一步应当向哪一个域名服务器进行查询”。然后让本地域名服务器进行后续查询。根域名服务器通常是把自己知道的顶级域名服务器的IP地址高速本地域名服务器,让本地域名服务器再向顶级域名服务器查询。本地域名服务器就是以这种方式进行迭代查询。

DNS原理

0x03 DNSLOG是什么?

当我们发现一个站点存在一个没有数据回显的注入点进行注入时,只能采取盲注,要么用逻辑法(布尔型),要么用延时法(时间注入),这种注入速度非常慢,需要一个一个字符推理猜解,而且很容易被网站BAN掉IP,虽然也可以使用代理IP池,但是还是需要一种快速有效的方法来获取数据。

DNS在解析的时候会留下日志,可以通过读取多级域名的解析日志来获取信息,即把信息放在多级的域名中,传递到我们指定的DNS服务器,然后在该服务器上读取DNS解析日志,便能够快速的获取数据,这就是DNSLog带外攻击,当然也可以在无回显的命令执行或者无回显的SSRF中利用。

常见的带外攻击利用平台有:DNSlog、cloundeye、Burp Collaborator client等。

以上解释来自FREEBUF WIKI

DNSlog示意图

0x04 案例参考

使用DNSLOG拯救你的盲打盲注

https://www.freebuf.com/articles/web/184587.html

一次weblogic命令执行利用dnslog进行利用

https://www.freebuf.com/articles/network/234126.html

0x05 参考链接

DNSlog

https://blog.csdn.net/weixin_44426869/article/details/104536108

DNSLog

https://wiki.freebuf.com/detail?wiki=19&post=276458