Выполнился подзапрос и произошла попытка отрезольвить поддомен burpcollaborator.net.

Это говорит о том что доступны функциии работы с файлами, load_file() - точно доступна.

Т.е. - чтение файлов, возможно - запись файлов.

Это - SQLi с файловыми привилегиями, соответственно все способы работы с SQLi и пробовать.

И можно проверить на SSRF.

Вот на этом моменте, нужно запомнить, что это справедливо только для Windows, ибо UNC.

Ничего не меняется Отображается факт резолва доменного имени. Которое было запрошено в результате выполнения SQL запроса, инъекции в текущем кейсе.

Техника называется DNS Exfiltration и относится к классу Out-of-Band (OOB) техник. Применима в различных видах слепых (blind) уязвимостей и не только. Простым языком, атакующий вытягивает данные через DNS запросы с атакуемой машины к своему DNS серверу. Например, используя такой запрос:

Прилетит, что-то типа 10.3.31-MariaDB-0ubuntu0.20.04.1.burpcollaborator.net и т.д. и т.п. Более подробно про OOB в MySQL: https://www.exploit-db.com/docs/engl...nd-hacking.pdf

Стоит отмтетить, что техники типа Time-Based, Boolean-Based, OOB, стоит использовать в последнюю очередь, в связи с их накладными расходами и лишней "шумностью". И как правильно подметил @dooble, нужно проверить права на запись файлов, что будет гораздо проще, а, возможно даже, это есть основная цель атаки

Сканер зацепил SQLi проверкой OOB, но это не значит, что другие вектора 100% недоступны.

Возможно это обычная SQLi, возможно даже с выводом.

Поэтому можно пробовать все, что умеем с SQLi.

Поставил на Burp -"SQLMap DNS Collaborator" запускаю мап с настройками --dns-domain=zzzzzz.burpcollaborator.net.

[CRITICAL] unable to connect to the target URL

Мне нужно сделать проброс портов(53) я так понимаю?

Нет, 53 порт ни при чем, sqlmap не может приконнектиться на таргет, возможно сработал ваф.

Продолжение темы!Да ваф не пускает именно sqlmap!Как он(ваф) определяет что запрос делает именно sqlmap?Какие варианты обхода есть?

Вопрос слишком размыт, недостаточно входных данных. Вариаций срабатывания блокировок могут быть сотни, если не тысячи. И от вендора, к вендору, а так же технологического стека, будут свои заморочки.

Пока, можно посоветовать только это:

https://bit.ly/3ryAB53

https://bit.ly/3lBaeYj

Во избежание гадания на кофейной гуще, требуется:

- Полный запрос (HTTP) который блокируется

- С какимим параметрами запускается SQLMap

И тогда, возможно, кто-то поможет обойти/раскрутить инъекцию.

Не обязательно использовать sqlmap, раз "руками" проходит, можно крутить опираясь на Burp Collaborator client, по технологии, как писали выше.

Получаем поддомен (по кнопке "Copy to clipboard"), например выдали такой адрес: etb1a29yallq56jzonu0fx3cz35tti.burpcollaborator.ne t

тогда шлем запросы

Сервер не знает такое имя ресурса, поэтому попытается его отрезольвить, т.е. запросит свой ДНС сервер и тогда в окне Burp Collaborator client мы увидим этот запрос, где частью имени будет наша полезная нагрузка

вместо version() можно вставить подзапросы, типа

рандомную строку нужно добавлять, если шлем повторные запросы, они уже известны нашему ДНС и метод не сработает.

Если в результате подзапроса будут недопустимые символы для ДНС, можно их захексить (hex()).

Вот тогда и будет видно, на чего агрится ваф.