转载

在SQL注入中使用DNS获取数据

0x00 前言

原文地址: http://arxiv.org/ftp/arxiv/papers/1303/1303.3047.pdf

原文作者: Miroslav Štampar

本文描述了一种利用DNS解析过程获取恶意SQL查询结果的先进的SQL注入技术。带有sql查询结果的DNS请求最终被攻击者控制的远程域名服务器拦截并提取出宝贵的数据。

开源SQL注入工具—SqlMap现在已经可以自动完成这个任务。随着SqlMap的升级完成，攻击者可以使用此技术进行快速而低调的数据检索，尤其是在其他标准方法失败的情况下。

0x01 介绍

渗出是一个军事术语，指的是通过隐蔽手段从敌人的领土内部盗取资产。如今它在计算机上有一个绝佳的用法，指的是非法从一个系统中提取数据。从域名服务器（DNS）中提取数据的方法被认为是最隐蔽的渗出方法。这种方法甚至可以通过一系列的信任主机以外的内部和外部域名服务器进行域名查询而用于没有公共网络连接的系统。

DNS是一个相对简单的协议。DNS客户端发送的查询语句和相应的DNS服务器返回的响应语句都使用相同的基本的DNS消息格式。除了区传送为提高其可靠性使用TCP以外，DNS报文都使用UDP封装。如果有人使用了Wireshark之类的工具监视机器，一个使用了DNS的隐蔽信道看起来像一系列转瞬即逝的小光点。

从安全系统中转播DNS查询到任意基于互联网的域名服务器是实现这一不受控制数据信道的基础。即使我们假设目标主机不被允许连接到公共网络，如果目标主机能够解析任意域名，数据还是可能可以经由转发DNS查询而渗出。

当其他更快的SQL注入（SQLI）数据检索技术失败时，攻击者通常会使用逐位检索数据的方法，这是一个非常繁杂而费时的流程。因此，攻击者通常需要发送成千上万的请求来获取一个普通大小的表的内容。我们将要提到的是一种攻击者通过利用有漏洞数据库管理系统（DBMS）发起特制的DNS请求，并在另一端进行拦截来检索恶意SQL语句结果（例如管理员密码），每个循环可传输几十个结果字符的技术。

0x02 技术分类

根据用于数据检索的传输信道，SQLi可分为三个独立的类别：inband, inference（推理）和out-of-band。

Inband技术使用攻击者和有漏洞的Web应用程序之间现有的渠道来提取数据。通常该通道是标准的Web服务器响应。它的成员union技术使用现有的web页面输出恶意SQL查询的执行结果，而error-based技术则引发特定的恶意SQL查询的执行结果的DBMS的错误消息。

相反的，在Inference技术中，攻击者通过应用程序表现的差异来推断数据的值。Inference技术能够逐位提取恶意SQL查询结果，却没有真正传输数据。

Inference的核心是在服务器执行一系列的布尔查询，观察和最后推导接收结果的含义。根据观察到的特性，它的成员被称为布尔型盲注（bool）和基于时间（time-based）的盲注技术。在布尔型盲注技术中，可见的网络服务器响应内容的变化被用于区分给定的逻辑问题的答案，

而在基于时间的盲注技术中则通过观察Web服务器响应时间的变化来推断答案。

Out-of-band (OOB)技术，与inband相反，使用其它传输信道获取数据，例如超文本传输协议和DNS解析协议。当详细的错误信息被禁用、结果被限制或过滤、出站过滤规则不严和/或当减少查询的数目变得极度重要时inference技术看起来像是唯一的选择，这时使用OOB技术渗透便变得十分有趣。例如，基于HTTP的OOB技术的SQL查询结果变成了发送给HTTP服务器请求的一部分（例如GET参数值）被能访问日志文件的攻击者控制时。此类的技术不像其它的主流技术被广泛应用，主要是其所需的设置非常复杂，但使用它们可以克服许多障碍（如避免不必要的数据库写入和极大地提升利用INSERT/UPDATE语句漏洞的基于时间的SQLI）。