# 53 - Pentesting DNS <details> <summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary> Otras formas de apoyar a HackTricks: * Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com) * Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud). </details> <figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure> **Configuración disponible al instante para evaluación de vulnerabilidades y pentesting**. Realiza un pentest completo desde cualquier lugar con más de 20 herramientas y características que van desde el reconocimiento hasta la elaboración de informes. No reemplazamos a los pentesters: desarrollamos herramientas personalizadas, módulos de detección y explotación para darles más tiempo para investigar a fondo, obtener shells y divertirse. {% embed url="https://pentest-tools.com/" %} ## **Información Básica** El Sistema de Nombres de Dominio (DNS) es la guía telefónica de Internet. Los humanos acceden a la información en línea a través de nombres de dominio, como nytimes.com o espn.com. Los navegadores web interactúan mediante direcciones de Protocolo de Internet (IP). DNS traduce los nombres de dominio a [direcciones IP](https://www.cloudflare.com/learning/dns/glossary/what-is-my-ip-address/) para que los navegadores puedan cargar recursos de Internet.\ Desde [aquí](https://www.cloudflare.com/learning/dns/what-is-dns/). **Puerto predeterminado:** 53 ``` PORT STATE SERVICE REASON 53/tcp open domain Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1) 5353/udp open zeroconf udp-response 53/udp open domain Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1) ``` ### Diferentes Servidores DNS Información de [https://academy.hackthebox.com/module/112/section/1069](https://academy.hackthebox.com/module/112/section/1069) | **Tipo de Servidor** | **Descripción** | | ------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `DNS Root Server` | Los servidores raíz de DNS son responsables de los dominios de nivel superior (`TLD`). Como última instancia, solo se consultan si el servidor de nombres no responde. Por lo tanto, un servidor raíz es una interfaz central entre usuarios y contenido en Internet, ya que vincula el dominio y la dirección IP. La [Internet Corporation for Assigned Names and Numbers](https://www.icann.org/) (`ICANN`) coordina el trabajo de los servidores de nombres raíz. Hay `13` servidores raíz de este tipo en todo el mundo. | | `Authoritative Nameserver` | Los servidores de nombres autoritativos tienen autoridad para una zona en particular. Solo responden consultas de su área de responsabilidad, y su información es vinculante. Si un servidor de nombres autoritativo no puede responder a una consulta del cliente, el servidor de nombres raíz toma el relevo en ese punto. | | `Non-authoritative Nameserver` | Los servidores de nombres no autoritativos no son responsables de una zona DNS en particular. En cambio, ellos mismos recopilan información sobre zonas DNS específicas, lo cual se realiza mediante consultas DNS recursivas o iterativas. | | `Caching DNS Server` | Los servidores DNS de caché almacenan información de otros servidores de nombres durante un período especificado. El servidor de nombres autoritativo determina la duración de este almacenamiento. | | `Forwarding Server` | Los servidores de reenvío realizan solo una función: reenvían consultas DNS a otro servidor DNS. | | `Resolver` | Los resolutores no son servidores DNS autoritativos pero realizan la resolución de nombres localmente en la computadora o enrutador. | ## Enumeración ### **Banner Grabbing** DNS no tiene un "banner" para capturar. El equivalente más cercano es una consulta mágica para `version.bind. CHAOS TXT` que funcionará en la mayoría de los servidores de nombres BIND.\ Puedes realizar esta consulta usando `dig`: ```bash dig version.bind CHAOS TXT @DNS ``` Si eso no funciona, puedes utilizar técnicas de fingerprinting para determinar la versión del servidor remoto -- la herramienta [`fpdns`](https://github.com/kirei/fpdns) es una opción para ello, pero hay otras. También puedes obtener el banner con un script de **nmap**: ``` --script dns-nsid ``` ### **Registro ANY** El registro **ANY** solicitará al servidor DNS que **devuelva** todas las **entradas** disponibles que **esté dispuesto a revelar**. ```bash dig any victim.com @<DNS_IP> ``` ### **Transferencia de Zona** Este procedimiento se abrevia `Asynchronous Full Transfer Zone` (`AXFR`). ```bash dig axfr @<DNS_IP> #Try zone transfer without domain dig axfr @<DNS_IP> <DOMAIN> #Try zone transfer guessing the domain fierce --domain <DOMAIN> --dns-servers <DNS_IP> #Will try toperform a zone transfer against every authoritative name server and if this doesn'twork, will launch a dictionary attack ``` ### Más información ```bash dig ANY @<DNS_IP> <DOMAIN> #Any information dig A @<DNS_IP> <DOMAIN> #Regular DNS request dig AAAA @<DNS_IP> <DOMAIN> #IPv6 DNS request dig TXT @<DNS_IP> <DOMAIN> #Information dig MX @<DNS_IP> <DOMAIN> #Emails related dig NS @<DNS_IP> <DOMAIN> #DNS that resolves that name dig -x 192.168.0.2 @<DNS_IP> #Reverse lookup dig -x 2a00:1450:400c:c06::93 @<DNS_IP> #reverse IPv6 lookup #Use [-p PORT] or -6 (to use ivp6 address of dns) ``` #### Automatización ```bash for sub in $(cat <WORDLIST>);do dig $sub.<DOMAIN> @<DNS_IP> | grep -v ';\|SOA' | sed -r '/^\s*$/d' | grep $sub | tee -a subdomains.txt;done dnsenum --dnsserver <DNS_IP> --enum -p 0 -s 0 -o subdomains.txt -f <WORDLIST> <DOMAIN> ``` #### Uso de nslookup ```bash nslookup > SERVER <IP_DNS> #Select dns server > 127.0.0.1 #Reverse lookup of 127.0.0.1, maybe... > <IP_MACHINE> #Reverse lookup of a machine, maybe... ``` ### Módulos útiles de metasploit ```bash auxiliary/gather/enum_dns #Perform enumeration actions ``` ### Scripts útiles de nmap ```bash #Perform enumeration actions nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" <IP> ``` ### DNS - Fuerza Bruta Inversa ```bash dnsrecon -r 127.0.0.0/24 -n <IP_DNS> #DNS reverse of all of the addresses dnsrecon -r 127.0.1.0/24 -n <IP_DNS> #DNS reverse of all of the addresses dnsrecon -r <IP_DNS>/24 -n <IP_DNS> #DNS reverse of all of the addresses dnsrecon -d active.htb -a -n <IP_DNS> #Zone transfer ``` {% hint style="info" %} Si encuentras subdominios que se resuelven a direcciones IP internas, deberías intentar realizar un BF de DNS inverso a los NS del dominio preguntando por ese rango de IP. {% endhint %} Otra herramienta para hacerlo: [https://github.com/amine7536/reverse-scan](https://github.com/amine7536/reverse-scan) Puedes consultar rangos de IP inversos en [https://bgp.he.net/net/205.166.76.0/24#\_dns](https://bgp.he.net/net/205.166.76.0/24#\_dns) (esta herramienta también es útil con BGP). ### DNS - BF de Subdominios ```bash dnsenum --dnsserver <IP_DNS> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-1000.txt <DOMAIN> dnsrecon -D subdomains-1000.txt -d <DOMAIN> -n <IP_DNS> dnscan -d <domain> -r -w subdomains-1000.txt #Bruteforce subdomains in recursive way, https://github.com/rbsec/dnscan ``` ### Servidores de Active Directory ```bash dig -t _gc._tcp.lab.domain.com dig -t _ldap._tcp.lab.domain.com dig -t _kerberos._tcp.lab.domain.com dig -t _kpasswd._tcp.lab.domain.com nslookup -type=srv _kerberos._tcp.<CLIENT_DOMAIN> nslookup -type=srv _kerberos._tcp.domain.com nmap --script dns-srv-enum --script-args "dns-srv-enum.domain='domain.com'" ``` ### DNSSec ```bash #Query paypal subdomains to ns3.isc-sns.info nmap -sSU -p53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=paypal.com ns3.isc-sns.info ``` ### IPv6 Fuerza bruta utilizando solicitudes "AAAA" para recopilar IPv6 de los subdominios. ```bash dnsdict6 -s -t <domain> ``` Ataque de fuerza bruta a DNS inverso utilizando direcciones IPv6 ```bash dnsrevenum6 pri.authdns.ripe.net 2001:67c:2e8::/48 #Will use the dns pri.authdns.ripe.net ``` ### DNS Recursion DDoS Si la **recursión DNS está habilitada**, un atacante podría **falsificar** el **origen** en el paquete UDP para hacer que el **DNS envíe la respuesta al servidor víctima**. Un atacante podría abusar de los tipos de registros **ANY** o **DNSSEC** ya que suelen tener las respuestas más grandes.\ La forma de **verificar** si un DNS admite **recursión** es consultar un nombre de dominio y **verificar** si la **bandera "ra"** (_recursión disponible_) está en la respuesta: ```bash dig google.com A @<IP> ``` **No disponible**: .png>) **Disponible**: .png>) <figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure> **Configuración inmediatamente disponible para evaluación de vulnerabilidades y pentesting**. Ejecute un pentest completo desde cualquier lugar con más de 20 herramientas y características que van desde el reconocimiento hasta la generación de informes. No reemplazamos a los pentesters: desarrollamos herramientas personalizadas, módulos de detección y explotación para devolverles tiempo para investigar más a fondo, obtener shells y divertirse. {% embed url="https://pentest-tools.com/" %} ### Correo a cuenta inexistente Del libro: Network Security Assessment (3ª edición) Simplemente enviar un mensaje de correo electrónico a una dirección inexistente en un dominio objetivo a menudo revela información útil de la red interna a través de una _notificación de no entrega_ (NDN). ``` Generating server: noa.nintendo.com blah@nintendo.com #550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ## Original message headers: Received: from ONERDEDGE02.one.nintendo.com (10.13.20.35) by onerdexch08.one.nintendo.com (10.13.30.39) with Microsoft SMTP Server (TLS) id 14.3.174.1; Sat, 26 Apr 2014 16:52:22 -0700 Received: from barracuda.noa.nintendo.com (205.166.76.35) by ONERDEDGE02.one.nintendo.com (10.13.20.35) with Microsoft SMTP Server (TLS) id 14.3.174.1; Sat, 26 Apr 2014 16:51:22 -0700 X-ASG-Debug-ID: 1398556333-0614671716199b0d0001-zOQ9WJ Received: from gateway05.websitewelcome.com (gateway05.websitewelcome.com [69.93.154.37]) by barracuda.noa.nintendo.com with ESMTP id xVNPkwaqGgdyH5Ag for <blah@nintendo.com>; Sat, 26 Apr 2014 16:52:13 -0700 (PDT) X-Barracuda-Envelope-From: chris@example.org X-Barracuda-Apparent-Source-IP: 69.93.154.37 ``` La siguiente información en esta transcripción es útil: * Nombres de host internos, direcciones IP y estructura de subdominios * El servidor de correo está ejecutando Microsoft Exchange Server 2010 SP3 * Se utiliza un dispositivo de Barracuda Networks para realizar filtrado de contenido ## Archivos de configuración ``` host.conf /etc/resolv.conf /etc/bind/named.conf /etc/bind/named.conf.local /etc/bind/named.conf.options /etc/bind/named.conf.log /etc/bind/* ``` Configuraciones peligrosas al configurar un servidor Bind: | **Opción** | **Descripción** | | ----------------- | ------------------------------------------------------------------------------- | | `allow-query` | Define qué hosts pueden enviar solicitudes al servidor DNS. | | `allow-recursion` | Define qué hosts pueden enviar solicitudes recursivas al servidor DNS. | | `allow-transfer` | Define qué hosts pueden recibir transferencias de zona del servidor DNS. | | `zone-statistics` | Recopila datos estadísticos de las zonas. | ## Comandos Automáticos HackTricks ``` Protocol_Name: DNS #Protocol Abbreviation if there is one. Port_Number: 53 #Comma separated if there is more than one. Protocol_Description: Domain Name Service #Protocol Abbreviation Spelled out Entry_1: Name: Notes Description: Notes for DNS Note: | #These are the commands I run every time I see an open DNS port dnsrecon -r 127.0.0.0/24 -n {IP} -d {Domain_Name} dnsrecon -r 127.0.1.0/24 -n {IP} -d {Domain_Name} dnsrecon -r {Network}{CIDR} -n {IP} -d {Domain_Name} dig axfr @{IP} dig axfr {Domain_Name} @{IP} nslookup SERVER {IP} 127.0.0.1 {IP} Domain_Name exit https://book.hacktricks.xyz/pentesting/pentesting-dns Entry_2: Name: Banner Grab Description: Grab DNS Banner Command: dig version.bind CHAOS TXT @DNS Entry_3: Name: Nmap Vuln Scan Description: Scan for Vulnerabilities with Nmap Command: nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" {IP} Entry_4: Name: Zone Transfer Description: Three attempts at forcing a zone transfer Command: dig axfr @{IP} && dix axfr @{IP} {Domain_Name} && fierce --dns-servers {IP} --domain {Domain_Name} Entry_5: Name: Active Directory Description: Eunuerate a DC via DNS Command: dig -t _gc._{Domain_Name} && dig -t _ldap._{Domain_Name} && dig -t _kerberos._{Domain_Name} && dig -t _kpasswd._{Domain_Name} && nmap --script dns-srv-enum --script-args "dns-srv-enum.domain={Domain_Name}" Entry_6: Name: consolesless mfs enumeration Description: DNS enumeration without the need to run msfconsole Note: sourced from https://github.com/carlospolop/legion Command: msfconsole -q -x 'use auxiliary/scanner/dns/dns_amp; set RHOSTS {IP}; set RPORT 53; run; exit' && msfconsole -q -x 'use auxiliary/gather/enum_dns; set RHOSTS {IP}; set RPORT 53; run; exit' ``` ```markdown <figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure> **Configuración disponible al instante para evaluación de vulnerabilidades y pentesting**. Ejecute un pentest completo desde cualquier lugar con más de 20 herramientas y características que van desde el reconocimiento hasta la elaboración de informes. No reemplazamos a los pentesters: desarrollamos herramientas personalizadas, módulos de detección y explotación para devolverles tiempo para investigar más a fondo, obtener shells y divertirse. {% embed url="https://pentest-tools.com/" %} <details> <summary><strong>Aprende a hackear AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary> Otras formas de apoyar a HackTricks: * Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com) * Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud). </details> ```