Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-dns.md

21 KiB
Raw Blame History

53 - Pentesting DNS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:

{% embed url="https://www.dragonjarcon.org/" %}

Información básica

El Sistema de Nombres de Dominio (DNS) es la guía telefónica de Internet. Los humanos acceden a la información en línea a través de nombres de dominio, como nytimes.com o espn.com. Los navegadores web interactúan a través de direcciones de Protocolo de Internet (IP). DNS traduce los nombres de dominio a direcciones IP para que los navegadores puedan cargar recursos de Internet.
Desde aquí.

Puerto predeterminado: 53

PORT     STATE SERVICE  REASON
53/tcp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
5353/udp open  zeroconf udp-response
53/udp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)

Diferentes servidores DNS

Información de https://academy.hackthebox.com/module/112/section/1069

Tipo de servidor Descripción
Servidor raíz DNS Los servidores raíz del DNS son responsables de los dominios de nivel superior (TLD). Como última instancia, solo se solicitan si el servidor de nombres no responde. Por lo tanto, un servidor raíz es una interfaz central entre los usuarios y el contenido en Internet, ya que vincula el dominio y la dirección IP. La Corporación de Internet para la Asignación de Nombres y Números (ICANN) coordina el trabajo de los servidores de nombres raíz. Hay 13 servidores raíz en todo el mundo.
Servidor de nombres autoritativo Los servidores de nombres autoritativos tienen autoridad sobre una zona particular. Solo responden a consultas de su área de responsabilidad y su información es vinculante. Si un servidor de nombres autoritativo no puede responder a la consulta de un cliente, el servidor de nombres raíz se hace cargo en ese momento.
Servidor de nombres no autoritativo Los servidores de nombres no autoritativos no son responsables de una zona DNS en particular. En su lugar, recopilan información sobre zonas DNS específicas ellos mismos, lo que se hace mediante consultas DNS recursivas o iterativas.
Servidor DNS en caché Los servidores DNS en caché almacenan en caché información de otros servidores de nombres durante un período especificado. El servidor de nombres autoritativo determina la duración de este almacenamiento.
Servidor de reenvío Los servidores de reenvío realizan solo una función: reenvían consultas DNS a otro servidor DNS.
Resolver Los resolutores no son servidores DNS autoritativos, pero realizan la resolución de nombres localmente en la computadora o en el enrutador.

Enumeración

Banner Grabbing

DNS no tiene un "banner" para capturar. El equivalente más cercano es una consulta mágica para version.bind. CHAOS TXT, que funcionará en la mayoría de los servidores BIND.
Puede realizar esta consulta utilizando dig:

dig version.bind CHAOS TXT @DNS

Si eso no funciona, puedes usar técnicas de fingerprinting para determinar la versión del servidor remoto -- la herramienta fpdns es una opción para eso, pero hay otras.

También puedes obtener el banner con un script de nmap:

--script dns-nsid

Cualquier registro

El registro ANY solicitará al servidor DNS que devuelva todas las entradas disponibles que esté dispuesto a revelar.

dig any victim.com @<DNS_IP>

Transferencia de Zona

Este procedimiento se abrevia como Asynchronous Full Transfer Zone (AXFR).

dig axfr @<DNS_IP> #Try zone transfer without domain
dig axfr @<DNS_IP> <DOMAIN> #Try zone transfer guessing the domain
fierce --domain <DOMAIN> --dns-servers <DNS_IP> #Will try toperform a zone transfer against every authoritative name server and if this doesn'twork, will launch a dictionary attack

Sure, what else can I help you with?

dig ANY @<DNS_IP> <DOMAIN>     #Any information
dig A @<DNS_IP> <DOMAIN>       #Regular DNS request
dig AAAA @<DNS_IP> <DOMAIN>    #IPv6 DNS request
dig TXT @<DNS_IP> <DOMAIN>     #Information
dig MX @<DNS_IP> <DOMAIN>      #Emails related
dig NS @<DNS_IP> <DOMAIN>      #DNS that resolves that name
dig -x 192.168.0.2 @<DNS_IP>   #Reverse lookup
dig -x 2a00:1450:400c:c06::93 @<DNS_IP> #reverse IPv6 lookup

#Use [-p PORT]  or  -6 (to use ivp6 address of dns)

Usando nslookup

nslookup
> SERVER <IP_DNS> #Select dns server
> 127.0.0.1 #Reverse lookup of 127.0.0.1, maybe...
> <IP_MACHINE> #Reverse lookup of a machine, maybe...

Módulos útiles de Metasploit

auxiliary/gather/enum_dns #Perform enumeration actions

Scripts útiles de nmap

#Perform enumeration actions
nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" <IP>

DNS - Fuerza Bruta Inversa

dnsrecon -r 127.0.0.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r 127.0.1.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r <IP_DNS>/24 -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d active.htb -a -n <IP_DNS> #Zone transfer

{% hint style="info" %} Si logras encontrar subdominios que resuelven a direcciones IP internas, debes intentar realizar un ataque de fuerza bruta inversa a los servidores de nombres del dominio solicitando ese rango de IP. {% endhint %}

Otra herramienta para hacerlo: https://github.com/amine7536/reverse-scan

Puedes consultar rangos de IP inversos en https://bgp.he.net/net/205.166.76.0/24#_dns (esta herramienta también es útil con BGP).

DNS - Ataque de fuerza bruta a subdominios

dnsenum --dnsserver <IP_DNS> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-1000.txt <DOMAIN>
dnsrecon -D subdomains-1000.txt -d <DOMAIN> -n <IP_DNS>
dnscan -d <domain> -r -w subdomains-1000.txt #Bruteforce subdomains in recursive way, https://github.com/rbsec/dnscan

Servidores de Active Directory

dig -t _gc._tcp.lab.domain.com
dig -t _ldap._tcp.lab.domain.com
dig -t _kerberos._tcp.lab.domain.com
dig -t _kpasswd._tcp.lab.domain.com
nmap --script dns-srv-enum --script-args "dns-srv-enum.domain='domain.com'"

DNSSec

DNSSec (Domain Name System Security Extensions) es una extensión de seguridad para el protocolo DNS que proporciona autenticación y verificación de la integridad de los datos de DNS. DNSSec utiliza criptografía de clave pública para firmar digitalmente los registros de DNS y garantizar que no hayan sido modificados durante la transmisión. Esto ayuda a prevenir ataques de envenenamiento de caché DNS y garantiza que los usuarios sean redirigidos a los sitios web correctos. Los pentesters pueden utilizar herramientas como dnssec-verify para verificar si un dominio está configurado correctamente con DNSSec.

 #Query paypal subdomains to ns3.isc-sns.info
 nmap -sSU -p53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=paypal.com ns3.isc-sns.info

IPv6

Realizar fuerza bruta utilizando solicitudes "AAAA" para recopilar las direcciones IPv6 de los subdominios.

dnsdict6 -s -t <domain>

Bruteforce de DNS inverso usando direcciones IPv6

El DNS inverso es un proceso que implica la resolución de una dirección IP en un nombre de dominio. En lugar de buscar la dirección IP de un nombre de dominio, el DNS inverso busca el nombre de dominio de una dirección IP. En este caso, se trata de un ataque de fuerza bruta en el que se intenta adivinar el nombre de dominio correspondiente a una dirección IPv6.

Para llevar a cabo este ataque, se puede utilizar una herramienta de fuerza bruta como dnsrevenum6. Esta herramienta se utiliza para realizar una búsqueda inversa de DNS en direcciones IPv6. La herramienta utiliza una lista de nombres de dominio y realiza una búsqueda inversa de DNS en cada dirección IPv6 en la lista.

El objetivo de este ataque es encontrar nombres de dominio que no estén protegidos por el DNSSEC. Si se encuentra un nombre de dominio que no esté protegido por el DNSSEC, se puede utilizar para llevar a cabo ataques de phishing o para realizar ataques de suplantación de identidad.

Es importante tener en cuenta que este tipo de ataque puede ser detectado por los sistemas de seguridad de red. Por lo tanto, se recomienda utilizar esta técnica con precaución y sólo en entornos controlados y autorizados.

dnsrevenum6 pri.authdns.ripe.net 2001:67c:2e8::/48 #Will use the dns pri.authdns.ripe.net

DNS Recursion DDoS

Si la recursión DNS está habilitada, un atacante podría falsificar el origen en el paquete UDP para hacer que el DNS envíe la respuesta al servidor víctima. Un atacante podría abusar de los tipos de registro ANY o DNSSEC ya que suelen tener las respuestas más grandes.
La forma de verificar si un DNS admite recursión es consultar un nombre de dominio y verificar si la bandera "ra" (recursión disponible) está en la respuesta:

dig google.com A @<IP>

No disponible:

Disponible:

DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:

{% embed url="https://www.dragonjarcon.org/" %}

Correo a una cuenta inexistente

Del libro: Evaluación de la seguridad de la red (3ª edición)

Simplemente enviar un mensaje de correo electrónico a una dirección inexistente en un dominio objetivo a menudo revela información útil de la red interna a través de una notificación de no entrega (NDN).

Generating server: noa.nintendo.com

blah@nintendo.com
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##

Original message headers:

Received: from ONERDEDGE02.one.nintendo.com (10.13.20.35) by
 onerdexch08.one.nintendo.com (10.13.30.39) with Microsoft SMTP Server (TLS)
 id 14.3.174.1; Sat, 26 Apr 2014 16:52:22 -0700
Received: from barracuda.noa.nintendo.com (205.166.76.35) by
 ONERDEDGE02.one.nintendo.com (10.13.20.35) with Microsoft SMTP Server (TLS)
 id 14.3.174.1; Sat, 26 Apr 2014 16:51:22 -0700
X-ASG-Debug-ID: 1398556333-0614671716199b0d0001-zOQ9WJ
Received: from gateway05.websitewelcome.com (gateway05.websitewelcome.com  [69.93.154.37]) by 
barracuda.noa.nintendo.com with ESMTP id xVNPkwaqGgdyH5Ag for <blah@nintendo.com>; Sat, 
26 Apr 2014 16:52:13 -0700 (PDT)
X-Barracuda-Envelope-From: chris@example.org
X-Barracuda-Apparent-Source-IP: 69.93.154.37

Los siguientes datos en esta transcripción son útiles:

  • Nombres de host internos, direcciones IP y diseño de subdominios
  • El servidor de correo está ejecutando Microsoft Exchange Server 2010 SP3
  • Se utiliza un dispositivo de Barracuda Networks para realizar la filtración de contenido

Archivos de configuración

host.conf
/etc/resolv.conf
/etc/bind/named.conf
/etc/bind/named.conf.local
/etc/bind/named.conf.options
/etc/bind/named.conf.log
/etc/bind/*

Configuraciones peligrosas al configurar un servidor Bind:

Opción Descripción
allow-query Define qué hosts tienen permitido enviar solicitudes al servidor DNS.
allow-recursion Define qué hosts tienen permitido enviar solicitudes recursivas al servidor DNS.
allow-transfer Define qué hosts tienen permitido recibir transferencias de zona desde el servidor DNS.
zone-statistics Recopila datos estadísticos de las zonas.

Comandos automáticos de HackTricks

Protocol_Name: DNS    #Protocol Abbreviation if there is one.
Port_Number:  53     #Comma separated if there is more than one.
Protocol_Description: Domain Name Service        #Protocol Abbreviation Spelled out

Entry_1:
  Name: Notes
  Description: Notes for DNS
  Note: |
    #These are the commands I run every time I see an open DNS port

    dnsrecon -r 127.0.0.0/24 -n {IP} -d {Domain_Name}
    dnsrecon -r 127.0.1.0/24 -n {IP} -d {Domain_Name}
    dnsrecon -r {Network}{CIDR} -n {IP} -d {Domain_Name}
    dig axfr @{IP}
    dig axfr {Domain_Name} @{IP}
    nslookup
        SERVER {IP}
        127.0.0.1
        {IP}
        Domain_Name
        exit

    https://book.hacktricks.xyz/pentesting/pentesting-dns

Entry_2:
  Name: Banner Grab
  Description: Grab DNS Banner
  Command: dig version.bind CHAOS TXT @DNS

Entry_3:
  Name: Nmap Vuln Scan
  Description: Scan for Vulnerabilities with Nmap
  Command: nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" {IP}

Entry_4:
  Name: Zone Transfer
  Description: Three attempts at forcing a zone transfer
  Command: dig axfr @{IP} && dix axfr @{IP} {Domain_Name} && fierce --dns-servers {IP} --domain {Domain_Name}


Entry_5:
  Name: Active Directory
  Description: Eunuerate a DC via DNS
  Command: dig -t _gc._{Domain_Name} && dig -t _ldap._{Domain_Name} && dig -t _kerberos._{Domain_Name} && dig -t _kpasswd._{Domain_Name} && nmap --script dns-srv-enum --script-args "dns-srv-enum.domain={Domain_Name}"
  
Entry_6:
  Name: consolesless mfs enumeration
  Description: DNS enumeration without the need to run msfconsole
  Note: sourced from https://github.com/carlospolop/legion
  Command: msfconsole -q -x 'use auxiliary/scanner/dns/dns_amp; set RHOSTS {IP}; set RPORT 53; run; exit' && msfconsole -q -x 'use auxiliary/gather/enum_dns; set RHOSTS {IP}; set RPORT 53; run; exit'

DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década de existencia que se llevará a cabo los días 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento técnico de gran contenido en el que se presentan las últimas investigaciones en español, lo que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:

{% embed url="https://www.dragonjarcon.org/" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥