mirror of
https://github.com/carlospolop/hacktricks
synced 2025-03-04 15:27:19 +00:00
305 lines
18 KiB
Markdown
305 lines
18 KiB
Markdown
# 53 - Pentesting DNS
|
|
|
|
<details>
|
|
|
|
<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Otras formas de apoyar a HackTricks:
|
|
|
|
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
|
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
|
|
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
|
|
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
|
|
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
**Configuración disponible al instante para evaluación de vulnerabilidades y pentesting**. Realiza un pentest completo desde cualquier lugar con más de 20 herramientas y características que van desde el reconocimiento hasta la elaboración de informes. No reemplazamos a los pentesters: desarrollamos herramientas personalizadas, módulos de detección y explotación para darles más tiempo para investigar a fondo, obtener shells y divertirse.
|
|
|
|
{% embed url="https://pentest-tools.com/" %}
|
|
|
|
## **Información Básica**
|
|
|
|
El Sistema de Nombres de Dominio (DNS) es la guía telefónica de Internet. Los humanos acceden a la información en línea a través de nombres de dominio, como nytimes.com o espn.com. Los navegadores web interactúan mediante direcciones de Protocolo de Internet (IP). DNS traduce los nombres de dominio a [direcciones IP](https://www.cloudflare.com/learning/dns/glossary/what-is-my-ip-address/) para que los navegadores puedan cargar recursos de Internet.\
|
|
Desde [aquí](https://www.cloudflare.com/learning/dns/what-is-dns/).
|
|
|
|
**Puerto predeterminado:** 53
|
|
```
|
|
PORT STATE SERVICE REASON
|
|
53/tcp open domain Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
|
|
5353/udp open zeroconf udp-response
|
|
53/udp open domain Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
|
|
```
|
|
### Diferentes Servidores DNS
|
|
|
|
Información de [https://academy.hackthebox.com/module/112/section/1069](https://academy.hackthebox.com/module/112/section/1069)
|
|
|
|
| **Tipo de Servidor** | **Descripción** |
|
|
| ------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
|
|
| `DNS Root Server` | Los servidores raíz de DNS son responsables de los dominios de nivel superior (`TLD`). Como última instancia, solo se consultan si el servidor de nombres no responde. Por lo tanto, un servidor raíz es una interfaz central entre usuarios y contenido en Internet, ya que vincula el dominio y la dirección IP. La [Internet Corporation for Assigned Names and Numbers](https://www.icann.org/) (`ICANN`) coordina el trabajo de los servidores de nombres raíz. Hay `13` servidores raíz de este tipo en todo el mundo. |
|
|
| `Authoritative Nameserver` | Los servidores de nombres autoritativos tienen autoridad para una zona en particular. Solo responden consultas de su área de responsabilidad, y su información es vinculante. Si un servidor de nombres autoritativo no puede responder a una consulta del cliente, el servidor de nombres raíz toma el relevo en ese punto. |
|
|
| `Non-authoritative Nameserver` | Los servidores de nombres no autoritativos no son responsables de una zona DNS en particular. En cambio, ellos mismos recopilan información sobre zonas DNS específicas, lo cual se realiza mediante consultas DNS recursivas o iterativas. |
|
|
| `Caching DNS Server` | Los servidores DNS de caché almacenan información de otros servidores de nombres durante un período especificado. El servidor de nombres autoritativo determina la duración de este almacenamiento. |
|
|
| `Forwarding Server` | Los servidores de reenvío realizan solo una función: reenvían consultas DNS a otro servidor DNS. |
|
|
| `Resolver` | Los resolutores no son servidores DNS autoritativos pero realizan la resolución de nombres localmente en la computadora o enrutador. |
|
|
|
|
## Enumeración
|
|
|
|
### **Banner Grabbing**
|
|
|
|
DNS no tiene un "banner" para capturar. El equivalente más cercano es una consulta mágica para `version.bind. CHAOS TXT` que funcionará en la mayoría de los servidores de nombres BIND.\
|
|
Puedes realizar esta consulta usando `dig`:
|
|
```bash
|
|
dig version.bind CHAOS TXT @DNS
|
|
```
|
|
Si eso no funciona, puedes utilizar técnicas de fingerprinting para determinar la versión del servidor remoto -- la herramienta [`fpdns`](https://github.com/kirei/fpdns) es una opción para ello, pero hay otras.
|
|
|
|
También puedes obtener el banner con un script de **nmap**:
|
|
```
|
|
--script dns-nsid
|
|
```
|
|
### **Registro ANY**
|
|
|
|
El registro **ANY** solicitará al servidor DNS que **devuelva** todas las **entradas** disponibles que **esté dispuesto a revelar**.
|
|
```bash
|
|
dig any victim.com @<DNS_IP>
|
|
```
|
|
### **Transferencia de Zona**
|
|
|
|
Este procedimiento se abrevia `Asynchronous Full Transfer Zone` (`AXFR`).
|
|
```bash
|
|
dig axfr @<DNS_IP> #Try zone transfer without domain
|
|
dig axfr @<DNS_IP> <DOMAIN> #Try zone transfer guessing the domain
|
|
fierce --domain <DOMAIN> --dns-servers <DNS_IP> #Will try toperform a zone transfer against every authoritative name server and if this doesn'twork, will launch a dictionary attack
|
|
```
|
|
### Más información
|
|
```bash
|
|
dig ANY @<DNS_IP> <DOMAIN> #Any information
|
|
dig A @<DNS_IP> <DOMAIN> #Regular DNS request
|
|
dig AAAA @<DNS_IP> <DOMAIN> #IPv6 DNS request
|
|
dig TXT @<DNS_IP> <DOMAIN> #Information
|
|
dig MX @<DNS_IP> <DOMAIN> #Emails related
|
|
dig NS @<DNS_IP> <DOMAIN> #DNS that resolves that name
|
|
dig -x 192.168.0.2 @<DNS_IP> #Reverse lookup
|
|
dig -x 2a00:1450:400c:c06::93 @<DNS_IP> #reverse IPv6 lookup
|
|
|
|
#Use [-p PORT] or -6 (to use ivp6 address of dns)
|
|
```
|
|
#### Automatización
|
|
```bash
|
|
for sub in $(cat <WORDLIST>);do dig $sub.<DOMAIN> @<DNS_IP> | grep -v ';\|SOA' | sed -r '/^\s*$/d' | grep $sub | tee -a subdomains.txt;done
|
|
|
|
dnsenum --dnsserver <DNS_IP> --enum -p 0 -s 0 -o subdomains.txt -f <WORDLIST> <DOMAIN>
|
|
```
|
|
#### Uso de nslookup
|
|
```bash
|
|
nslookup
|
|
> SERVER <IP_DNS> #Select dns server
|
|
> 127.0.0.1 #Reverse lookup of 127.0.0.1, maybe...
|
|
> <IP_MACHINE> #Reverse lookup of a machine, maybe...
|
|
```
|
|
### Módulos útiles de metasploit
|
|
```bash
|
|
auxiliary/gather/enum_dns #Perform enumeration actions
|
|
```
|
|
### Scripts útiles de nmap
|
|
```bash
|
|
#Perform enumeration actions
|
|
nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" <IP>
|
|
```
|
|
### DNS - Fuerza Bruta Inversa
|
|
```bash
|
|
dnsrecon -r 127.0.0.0/24 -n <IP_DNS> #DNS reverse of all of the addresses
|
|
dnsrecon -r 127.0.1.0/24 -n <IP_DNS> #DNS reverse of all of the addresses
|
|
dnsrecon -r <IP_DNS>/24 -n <IP_DNS> #DNS reverse of all of the addresses
|
|
dnsrecon -d active.htb -a -n <IP_DNS> #Zone transfer
|
|
```
|
|
{% hint style="info" %}
|
|
Si encuentras subdominios que se resuelven a direcciones IP internas, deberías intentar realizar un BF de DNS inverso a los NS del dominio preguntando por ese rango de IP.
|
|
{% endhint %}
|
|
|
|
Otra herramienta para hacerlo: [https://github.com/amine7536/reverse-scan](https://github.com/amine7536/reverse-scan)
|
|
|
|
Puedes consultar rangos de IP inversos en [https://bgp.he.net/net/205.166.76.0/24#\_dns](https://bgp.he.net/net/205.166.76.0/24#\_dns) (esta herramienta también es útil con BGP).
|
|
|
|
### DNS - BF de Subdominios
|
|
```bash
|
|
dnsenum --dnsserver <IP_DNS> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-1000.txt <DOMAIN>
|
|
dnsrecon -D subdomains-1000.txt -d <DOMAIN> -n <IP_DNS>
|
|
dnscan -d <domain> -r -w subdomains-1000.txt #Bruteforce subdomains in recursive way, https://github.com/rbsec/dnscan
|
|
```
|
|
### Servidores de Active Directory
|
|
```bash
|
|
dig -t _gc._tcp.lab.domain.com
|
|
dig -t _ldap._tcp.lab.domain.com
|
|
dig -t _kerberos._tcp.lab.domain.com
|
|
dig -t _kpasswd._tcp.lab.domain.com
|
|
|
|
nslookup -type=srv _kerberos._tcp.<CLIENT_DOMAIN>
|
|
nslookup -type=srv _kerberos._tcp.domain.com
|
|
|
|
nmap --script dns-srv-enum --script-args "dns-srv-enum.domain='domain.com'"
|
|
```
|
|
### DNSSec
|
|
```bash
|
|
#Query paypal subdomains to ns3.isc-sns.info
|
|
nmap -sSU -p53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=paypal.com ns3.isc-sns.info
|
|
```
|
|
### IPv6
|
|
|
|
Fuerza bruta utilizando solicitudes "AAAA" para recopilar IPv6 de los subdominios.
|
|
```bash
|
|
dnsdict6 -s -t <domain>
|
|
```
|
|
Ataque de fuerza bruta a DNS inverso utilizando direcciones IPv6
|
|
```bash
|
|
dnsrevenum6 pri.authdns.ripe.net 2001:67c:2e8::/48 #Will use the dns pri.authdns.ripe.net
|
|
```
|
|
### DNS Recursion DDoS
|
|
|
|
Si la **recursión DNS está habilitada**, un atacante podría **falsificar** el **origen** en el paquete UDP para hacer que el **DNS envíe la respuesta al servidor víctima**. Un atacante podría abusar de los tipos de registros **ANY** o **DNSSEC** ya que suelen tener las respuestas más grandes.\
|
|
La forma de **verificar** si un DNS admite **recursión** es consultar un nombre de dominio y **verificar** si la **bandera "ra"** (_recursión disponible_) está en la respuesta:
|
|
```bash
|
|
dig google.com A @<IP>
|
|
```
|
|
**No disponible**:
|
|
|
|
.png>)
|
|
|
|
**Disponible**:
|
|
|
|
.png>)
|
|
|
|
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
**Configuración inmediatamente disponible para evaluación de vulnerabilidades y pentesting**. Ejecute un pentest completo desde cualquier lugar con más de 20 herramientas y características que van desde el reconocimiento hasta la generación de informes. No reemplazamos a los pentesters: desarrollamos herramientas personalizadas, módulos de detección y explotación para devolverles tiempo para investigar más a fondo, obtener shells y divertirse.
|
|
|
|
{% embed url="https://pentest-tools.com/" %}
|
|
|
|
### Correo a cuenta inexistente
|
|
|
|
Del libro: Network Security Assessment (3ª edición)
|
|
|
|
Simplemente enviar un mensaje de correo electrónico a una dirección inexistente en un dominio objetivo a menudo revela información útil de la red interna a través de una _notificación de no entrega_ (NDN).
|
|
```
|
|
Generating server: noa.nintendo.com
|
|
|
|
blah@nintendo.com
|
|
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
|
|
|
|
Original message headers:
|
|
|
|
Received: from ONERDEDGE02.one.nintendo.com (10.13.20.35) by
|
|
onerdexch08.one.nintendo.com (10.13.30.39) with Microsoft SMTP Server (TLS)
|
|
id 14.3.174.1; Sat, 26 Apr 2014 16:52:22 -0700
|
|
Received: from barracuda.noa.nintendo.com (205.166.76.35) by
|
|
ONERDEDGE02.one.nintendo.com (10.13.20.35) with Microsoft SMTP Server (TLS)
|
|
id 14.3.174.1; Sat, 26 Apr 2014 16:51:22 -0700
|
|
X-ASG-Debug-ID: 1398556333-0614671716199b0d0001-zOQ9WJ
|
|
Received: from gateway05.websitewelcome.com (gateway05.websitewelcome.com [69.93.154.37]) by
|
|
barracuda.noa.nintendo.com with ESMTP id xVNPkwaqGgdyH5Ag for <blah@nintendo.com>; Sat,
|
|
26 Apr 2014 16:52:13 -0700 (PDT)
|
|
X-Barracuda-Envelope-From: chris@example.org
|
|
X-Barracuda-Apparent-Source-IP: 69.93.154.37
|
|
```
|
|
La siguiente información en esta transcripción es útil:
|
|
|
|
* Nombres de host internos, direcciones IP y estructura de subdominios
|
|
* El servidor de correo está ejecutando Microsoft Exchange Server 2010 SP3
|
|
* Se utiliza un dispositivo de Barracuda Networks para realizar filtrado de contenido
|
|
|
|
## Archivos de configuración
|
|
```
|
|
host.conf
|
|
/etc/resolv.conf
|
|
/etc/bind/named.conf
|
|
/etc/bind/named.conf.local
|
|
/etc/bind/named.conf.options
|
|
/etc/bind/named.conf.log
|
|
/etc/bind/*
|
|
```
|
|
Configuraciones peligrosas al configurar un servidor Bind:
|
|
|
|
| **Opción** | **Descripción** |
|
|
| ----------------- | ------------------------------------------------------------------------------- |
|
|
| `allow-query` | Define qué hosts pueden enviar solicitudes al servidor DNS. |
|
|
| `allow-recursion` | Define qué hosts pueden enviar solicitudes recursivas al servidor DNS. |
|
|
| `allow-transfer` | Define qué hosts pueden recibir transferencias de zona del servidor DNS. |
|
|
| `zone-statistics` | Recopila datos estadísticos de las zonas. |
|
|
|
|
## Comandos Automáticos HackTricks
|
|
```
|
|
Protocol_Name: DNS #Protocol Abbreviation if there is one.
|
|
Port_Number: 53 #Comma separated if there is more than one.
|
|
Protocol_Description: Domain Name Service #Protocol Abbreviation Spelled out
|
|
|
|
Entry_1:
|
|
Name: Notes
|
|
Description: Notes for DNS
|
|
Note: |
|
|
#These are the commands I run every time I see an open DNS port
|
|
|
|
dnsrecon -r 127.0.0.0/24 -n {IP} -d {Domain_Name}
|
|
dnsrecon -r 127.0.1.0/24 -n {IP} -d {Domain_Name}
|
|
dnsrecon -r {Network}{CIDR} -n {IP} -d {Domain_Name}
|
|
dig axfr @{IP}
|
|
dig axfr {Domain_Name} @{IP}
|
|
nslookup
|
|
SERVER {IP}
|
|
127.0.0.1
|
|
{IP}
|
|
Domain_Name
|
|
exit
|
|
|
|
https://book.hacktricks.xyz/pentesting/pentesting-dns
|
|
|
|
Entry_2:
|
|
Name: Banner Grab
|
|
Description: Grab DNS Banner
|
|
Command: dig version.bind CHAOS TXT @DNS
|
|
|
|
Entry_3:
|
|
Name: Nmap Vuln Scan
|
|
Description: Scan for Vulnerabilities with Nmap
|
|
Command: nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" {IP}
|
|
|
|
Entry_4:
|
|
Name: Zone Transfer
|
|
Description: Three attempts at forcing a zone transfer
|
|
Command: dig axfr @{IP} && dix axfr @{IP} {Domain_Name} && fierce --dns-servers {IP} --domain {Domain_Name}
|
|
|
|
|
|
Entry_5:
|
|
Name: Active Directory
|
|
Description: Eunuerate a DC via DNS
|
|
Command: dig -t _gc._{Domain_Name} && dig -t _ldap._{Domain_Name} && dig -t _kerberos._{Domain_Name} && dig -t _kpasswd._{Domain_Name} && nmap --script dns-srv-enum --script-args "dns-srv-enum.domain={Domain_Name}"
|
|
|
|
Entry_6:
|
|
Name: consolesless mfs enumeration
|
|
Description: DNS enumeration without the need to run msfconsole
|
|
Note: sourced from https://github.com/carlospolop/legion
|
|
Command: msfconsole -q -x 'use auxiliary/scanner/dns/dns_amp; set RHOSTS {IP}; set RPORT 53; run; exit' && msfconsole -q -x 'use auxiliary/gather/enum_dns; set RHOSTS {IP}; set RPORT 53; run; exit'
|
|
```
|
|
```markdown
|
|
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
**Configuración disponible al instante para evaluación de vulnerabilidades y pentesting**. Ejecute un pentest completo desde cualquier lugar con más de 20 herramientas y características que van desde el reconocimiento hasta la elaboración de informes. No reemplazamos a los pentesters: desarrollamos herramientas personalizadas, módulos de detección y explotación para devolverles tiempo para investigar más a fondo, obtener shells y divertirse.
|
|
|
|
{% embed url="https://pentest-tools.com/" %}
|
|
|
|
<details>
|
|
|
|
<summary><strong>Aprende a hackear AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Otras formas de apoyar a HackTricks:
|
|
|
|
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
|
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
|
|
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
|
|
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
```
|