hacktricks/network-services-pentesting/pentesting-dns.md
2023-06-03 01:46:23 +00:00

22 KiB

53 - Pentesting DNS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:

{% embed url="https://www.dragonjarcon.org/" %}

Información básica

El Sistema de Nombres de Dominio (DNS) es la guía telefónica de Internet. Los humanos acceden a la información en línea a través de nombres de dominio, como nytimes.com o espn.com. Los navegadores web interactúan a través de direcciones de Protocolo de Internet (IP). DNS traduce los nombres de dominio a direcciones IP para que los navegadores puedan cargar recursos de Internet.
Desde aquí.

Puerto predeterminado: 53

PORT     STATE SERVICE  REASON
53/tcp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
5353/udp open  zeroconf udp-response
53/udp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)

Diferentes servidores DNS

Información de https://academy.hackthebox.com/module/112/section/1069

Tipo de servidor Descripción
Servidor raíz DNS Los servidores raíz del DNS son responsables de los dominios de nivel superior (TLD). Como última instancia, solo se solicitan si el servidor de nombres no responde. Por lo tanto, un servidor raíz es una interfaz central entre los usuarios y el contenido en Internet, ya que vincula el dominio y la dirección IP. La Corporación de Internet para la Asignación de Nombres y Números (ICANN) coordina el trabajo de los servidores de nombres raíz. Hay 13 servidores raíz en todo el mundo.
Servidor de nombres autoritativo Los servidores de nombres autoritativos tienen autoridad sobre una zona particular. Solo responden a consultas de su área de responsabilidad y su información es vinculante. Si un servidor de nombres autoritativo no puede responder a la consulta de un cliente, el servidor de nombres raíz se hace cargo en ese momento.
Servidor de nombres no autoritativo Los servidores de nombres no autoritativos no son responsables de una zona DNS en particular. En su lugar, recopilan información sobre zonas DNS específicas ellos mismos, lo que se hace mediante consultas DNS recursivas o iterativas.
Servidor DNS en caché Los servidores DNS en caché almacenan en caché información de otros servidores de nombres durante un período especificado. El servidor de nombres autoritativo determina la duración de este almacenamiento.
Servidor de reenvío Los servidores de reenvío realizan solo una función: reenvían consultas DNS a otro servidor DNS.
Resolver Los resolutores no son servidores DNS autoritativos, pero realizan la resolución de nombres localmente en la computadora o en el enrutador.

Enumeración

Banner Grabbing

DNS no tiene un "banner" para capturar. El equivalente más cercano es una consulta mágica para version.bind. CHAOS TXT, que funcionará en la mayoría de los servidores BIND.
Puede realizar esta consulta utilizando dig:

dig version.bind CHAOS TXT @DNS

Si eso no funciona, puedes utilizar técnicas de fingerprinting para determinar la versión del servidor remoto -- la herramienta fpdns es una opción para ello, pero hay otras.

También puedes obtener el banner con un script de nmap:

--script dns-nsid

Cualquier registro

El registro ANY solicitará al servidor DNS que devuelva todas las entradas disponibles que esté dispuesto a revelar.

dig any victim.com @<DNS_IP>

Transferencia de Zona

Este procedimiento se abrevia como Asynchronous Full Transfer Zone (AXFR).

dig axfr @<DNS_IP> #Try zone transfer without domain
dig axfr @<DNS_IP> <DOMAIN> #Try zone transfer guessing the domain
fierce --domain <DOMAIN> --dns-servers <DNS_IP> #Will try toperform a zone transfer against every authoritative name server and if this doesn'twork, will launch a dictionary attack

Sure, what additional information do you need?

dig ANY @<DNS_IP> <DOMAIN>     #Any information
dig A @<DNS_IP> <DOMAIN>       #Regular DNS request
dig AAAA @<DNS_IP> <DOMAIN>    #IPv6 DNS request
dig TXT @<DNS_IP> <DOMAIN>     #Information
dig MX @<DNS_IP> <DOMAIN>      #Emails related
dig NS @<DNS_IP> <DOMAIN>      #DNS that resolves that name
dig -x 192.168.0.2 @<DNS_IP>   #Reverse lookup
dig -x 2a00:1450:400c:c06::93 @<DNS_IP> #reverse IPv6 lookup

#Use [-p PORT]  or  -6 (to use ivp6 address of dns)

Usando nslookup

nslookup
> SERVER <IP_DNS> #Select dns server
> 127.0.0.1 #Reverse lookup of 127.0.0.1, maybe...
> <IP_MACHINE> #Reverse lookup of a machine, maybe...

Módulos útiles de Metasploit

auxiliary/gather/enum_dns #Perform enumeration actions

Scripts útiles de nmap

  • dns-brute.nse: Realiza un ataque de fuerza bruta contra un servidor DNS para encontrar subdominios y registros DNS adicionales.
  • dns-cache-snoop.nse: Realiza una búsqueda de caché DNS para encontrar registros DNS que se hayan almacenado en caché en el servidor DNS.
  • dns-zone-transfer.nse: Intenta realizar una transferencia de zona DNS para obtener una lista completa de registros DNS en un dominio.
  • dns-random-srcport.nse: Envía consultas DNS desde puertos de origen aleatorios para evitar la detección de IDS/IPS.
  • dns-random-txid.nse: Envía consultas DNS con identificadores de transacción aleatorios para evitar la detección de IDS/IPS.
  • dns-service-discovery.nse: Intenta descubrir servicios DNS adicionales que se ejecutan en el servidor DNS.
  • dns-update.nse: Intenta realizar una actualización de zona DNS para agregar o eliminar registros DNS en un dominio.
  • http-vhosts.nse: Enumera los hosts virtuales HTTP que se ejecutan en un servidor web.
  • http-headers.nse: Recupera los encabezados HTTP de una página web.
  • http-methods.nse: Enumera los métodos HTTP permitidos en un servidor web.
  • http-robots.txt.nse: Recupera el archivo robots.txt de un servidor web.
  • http-title.nse: Recupera el título de una página web.
  • ssl-enum-ciphers.nse: Enumera los cifrados SSL/TLS admitidos por un servidor web.
  • ssl-cert.nse: Recupera el certificado SSL/TLS de un servidor web.
#Perform enumeration actions
nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" <IP>

DNS - Fuerza Bruta Inversa

dnsrecon -r 127.0.0.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r 127.0.1.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r <IP_DNS>/24 -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d active.htb -a -n <IP_DNS> #Zone transfer

{% hint style="info" %} Si logras encontrar subdominios que resuelven a direcciones IP internas, deberías intentar realizar un ataque de fuerza bruta inversa a los servidores de nombres del dominio preguntando por ese rango de IP. {% endhint %}

Otra herramienta para hacerlo: https://github.com/amine7536/reverse-scan

Puedes consultar rangos de IP inversos en https://bgp.he.net/net/205.166.76.0/24#_dns (esta herramienta también es útil con BGP).

DNS - Ataque de fuerza bruta a subdominios

dnsenum --dnsserver <IP_DNS> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-1000.txt <DOMAIN>
dnsrecon -D subdomains-1000.txt -d <DOMAIN> -n <IP_DNS>
dnscan -d <domain> -r -w subdomains-1000.txt #Bruteforce subdomains in recursive way, https://github.com/rbsec/dnscan

Servidores de Active Directory

dig -t _gc._tcp.lab.domain.com
dig -t _ldap._tcp.lab.domain.com
dig -t _kerberos._tcp.lab.domain.com
dig -t _kpasswd._tcp.lab.domain.com
nmap --script dns-srv-enum --script-args "dns-srv-enum.domain='domain.com'"

DNSSec

DNSSec (Domain Name System Security Extensions) es una extensión de seguridad para el protocolo DNS que permite garantizar la autenticidad e integridad de las respuestas DNS. DNSSec utiliza criptografía de clave pública para firmar digitalmente las respuestas DNS y así evitar ataques de envenenamiento de caché DNS y otros tipos de ataques.

Para verificar si un dominio está utilizando DNSSec, se puede utilizar la herramienta dig con la opción +dnssec. Si la respuesta incluye la sección RRSIG, significa que el dominio está utilizando DNSSec.

Es importante tener en cuenta que DNSSec no proporciona confidencialidad, por lo que aún es posible que un atacante pueda interceptar y leer las respuestas DNS.

 #Query paypal subdomains to ns3.isc-sns.info
 nmap -sSU -p53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=paypal.com ns3.isc-sns.info

IPv6

Realizar fuerza bruta utilizando solicitudes "AAAA" para recopilar las direcciones IPv6 de los subdominios.

dnsdict6 -s -t <domain>

Bruteforce de DNS inverso en direcciones IPv6

El DNS inverso es el proceso de obtener un nombre de dominio a partir de una dirección IP. En IPv4, el DNS inverso se realiza mediante la consulta de registros PTR en la zona de DNS. En IPv6, el proceso es similar, pero los registros PTR se generan automáticamente a partir de la dirección IPv6.

Para realizar un bruteforce de DNS inverso en direcciones IPv6, podemos utilizar la herramienta dnsrevenum6 de la suite fierce. Esta herramienta realiza una búsqueda de DNS inverso en una lista de direcciones IPv6 y devuelve los nombres de dominio correspondientes.

Para utilizar dnsrevenum6, primero necesitamos una lista de direcciones IPv6. Podemos generar una lista utilizando la herramienta ipv6gen de la suite fierce. Una vez que tengamos la lista de direcciones IPv6, podemos ejecutar dnsrevenum6 con la siguiente sintaxis:

dnsrevenum6 -i <archivo_de_ips> -o <archivo_de_salida>

Donde <archivo_de_ips> es el archivo que contiene la lista de direcciones IPv6 y <archivo_de_salida> es el archivo donde se guardarán los resultados.

Es importante tener en cuenta que este proceso puede ser muy lento y consumir muchos recursos, especialmente si la lista de direcciones IPv6 es muy grande. Además, algunos proveedores de servicios de Internet pueden bloquear o limitar las consultas de DNS inverso para evitar abusos.

dnsrevenum6 pri.authdns.ripe.net 2001:67c:2e8::/48 #Will use the dns pri.authdns.ripe.net

DNS Recursion DDoS

Si la recursión DNS está habilitada, un atacante podría falsificar el origen en el paquete UDP para hacer que el DNS envíe la respuesta al servidor víctima. Un atacante podría abusar de los tipos de registro ANY o DNSSEC ya que suelen tener las respuestas más grandes.
La forma de verificar si un DNS admite recursión es consultar un nombre de dominio y verificar si la bandera "ra" (recursion available) está en la respuesta:

dig google.com A @<IP>

No disponible:

Disponible:

DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década de antigüedad que se llevará a cabo los días 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento con un gran contenido técnico donde se presentan las últimas investigaciones en español y que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:

{% embed url="https://www.dragonjarcon.org/" %}

Correo a una cuenta inexistente

Del libro: Evaluación de la seguridad de redes (3ª edición)

Simplemente enviar un mensaje de correo electrónico a una dirección inexistente en un dominio objetivo a menudo revela información útil de la red interna a través de una notificación de no entrega (NDN).

Generating server: noa.nintendo.com

blah@nintendo.com
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##

Original message headers:

Received: from ONERDEDGE02.one.nintendo.com (10.13.20.35) by
 onerdexch08.one.nintendo.com (10.13.30.39) with Microsoft SMTP Server (TLS)
 id 14.3.174.1; Sat, 26 Apr 2014 16:52:22 -0700
Received: from barracuda.noa.nintendo.com (205.166.76.35) by
 ONERDEDGE02.one.nintendo.com (10.13.20.35) with Microsoft SMTP Server (TLS)
 id 14.3.174.1; Sat, 26 Apr 2014 16:51:22 -0700
X-ASG-Debug-ID: 1398556333-0614671716199b0d0001-zOQ9WJ
Received: from gateway05.websitewelcome.com (gateway05.websitewelcome.com  [69.93.154.37]) by 
barracuda.noa.nintendo.com with ESMTP id xVNPkwaqGgdyH5Ag for <blah@nintendo.com>; Sat, 
26 Apr 2014 16:52:13 -0700 (PDT)
X-Barracuda-Envelope-From: chris@example.org
X-Barracuda-Apparent-Source-IP: 69.93.154.37

Los siguientes datos en esta transcripción son útiles:

  • Nombres de host internos, direcciones IP y diseño de subdominios
  • El servidor de correo está ejecutando Microsoft Exchange Server 2010 SP3
  • Se utiliza un dispositivo de Barracuda Networks para realizar filtrado de contenido

Archivos de configuración

host.conf
/etc/resolv.conf
/etc/bind/named.conf
/etc/bind/named.conf.local
/etc/bind/named.conf.options
/etc/bind/named.conf.log
/etc/bind/*

Configuraciones peligrosas al configurar un servidor Bind:

Opción Descripción
allow-query Define qué hosts tienen permitido enviar solicitudes al servidor DNS.
allow-recursion Define qué hosts tienen permitido enviar solicitudes recursivas al servidor DNS.
allow-transfer Define qué hosts tienen permitido recibir transferencias de zona desde el servidor DNS.
zone-statistics Recopila datos estadísticos de las zonas.

Comandos Automáticos de HackTricks

Protocol_Name: DNS    #Protocol Abbreviation if there is one.
Port_Number:  53     #Comma separated if there is more than one.
Protocol_Description: Domain Name Service        #Protocol Abbreviation Spelled out

Entry_1:
  Name: Notes
  Description: Notes for DNS
  Note: |
    #These are the commands I run every time I see an open DNS port

    dnsrecon -r 127.0.0.0/24 -n {IP} -d {Domain_Name}
    dnsrecon -r 127.0.1.0/24 -n {IP} -d {Domain_Name}
    dnsrecon -r {Network}{CIDR} -n {IP} -d {Domain_Name}
    dig axfr @{IP}
    dig axfr {Domain_Name} @{IP}
    nslookup
        SERVER {IP}
        127.0.0.1
        {IP}
        Domain_Name
        exit

    https://book.hacktricks.xyz/pentesting/pentesting-dns

Entry_2:
  Name: Banner Grab
  Description: Grab DNS Banner
  Command: dig version.bind CHAOS TXT @DNS

Entry_3:
  Name: Nmap Vuln Scan
  Description: Scan for Vulnerabilities with Nmap
  Command: nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" {IP}

Entry_4:
  Name: Zone Transfer
  Description: Three attempts at forcing a zone transfer
  Command: dig axfr @{IP} && dix axfr @{IP} {Domain_Name} && fierce --dns-servers {IP} --domain {Domain_Name}


Entry_5:
  Name: Active Directory
  Description: Eunuerate a DC via DNS
  Command: dig -t _gc._{Domain_Name} && dig -t _ldap._{Domain_Name} && dig -t _kerberos._{Domain_Name} && dig -t _kpasswd._{Domain_Name} && nmap --script dns-srv-enum --script-args "dns-srv-enum.domain={Domain_Name}"
  
Entry_6:
  Name: consolesless mfs enumeration
  Description: DNS enumeration without the need to run msfconsole
  Note: sourced from https://github.com/carlospolop/legion
  Command: msfconsole -q -x 'use auxiliary/scanner/dns/dns_amp; set RHOSTS {IP}; set RPORT 53; run; exit' && msfconsole -q -x 'use auxiliary/gather/enum_dns; set RHOSTS {IP}; set RPORT 53; run; exit' 

DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década de antigüedad que se llevará a cabo los días 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:

{% embed url="https://www.dragonjarcon.org/" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥