Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 04:33:28 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-dns.md

14 KiB
Raw Blame History

53 - Pentesting DNS

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Trenutno dostupno podešavanje za procenu ranjivosti i testiranje proboja. Pokrenite kompletan pentest od bilo kog mesta sa 20+ alata i funkcija koje idu od izviđanja do izveštavanja. Mi ne zamenjujemo pentestere - mi razvijamo prilagođene alate, module za detekciju i eksploataciju kako bismo im vratili neko vreme da dublje kopaju, otvaraju ljuske i zabavljaju se.

{% embed url="https://pentest-tools.com/" %}

Osnovne informacije

Sistem za imena domena (DNS) služi kao direktorijum interneta, omogućavajući korisnicima pristup veb sajtovima putem lako pamtljivih imena domena poput google.com ili facebook.com, umesto numeričkih Internet protokol (IP) adresa. Prevodeći imena domena u IP adrese, DNS osigurava da veb pregledači mogu brzo učitati internet resurse, pojednostavljujući način na koji se krećemo po onlajn svetu.

Podrazumevani port: 53

PORT     STATE SERVICE  REASON
53/tcp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
5353/udp open  zeroconf udp-response
53/udp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)

Različiti DNS serveri

  • DNS Root Serveri: Ovi serveri se nalaze na vrhu DNS hijerarhije, upravljajući top-level domenima i stupajući na scenu samo ako serveri nižeg nivoa ne odgovore. Internet korporacija za dodeljivanje imena i brojeva (ICANN) nadgleda njihov rad, sa globalnim brojem od 13.
  • Autoritativni Nameserveri: Ovi serveri imaju poslednju reč za upite u svojim određenim zonama, nudeći definitivne odgovore. Ako ne mogu pružiti odgovor, upit se eskalira ka root serverima.
  • Non-autoritativni Nameserveri: Bez vlasništva nad DNS zonama, ovi serveri prikupljaju informacije o domenima putem upita drugim serverima.
  • Caching DNS Server: Ovaj tip servera pamti prethodne odgovore na upite tokom određenog vremena kako bi ubrzao vreme odgovora za buduće zahteve, pri čemu trajanje keša diktira autoritativni server.
  • Forwarding Server: Obavljajući jednostavnu ulogu, forwarding serveri jednostavno prosleđuju upite drugom serveru.
  • Resolver: Integrisani u računare ili rutere, resolveri izvršavaju lokalnu rezoluciju imena i nisu smatrani autoritativnima.

Enumeracija

Banner Grabbing

Nema banera u DNS-u, ali možete dohvatiti magični upit za version.bind. CHAOS TXT koji će raditi na većini BIND nameservera.
Možete izvršiti ovaj upit koristeći dig:

dig version.bind CHAOS TXT @DNS

Osim toga, alat fpdns može takođe identifikovati server.

Takođe je moguće dobiti baner i pomoću nmap skripte:

--script dns-nsid

Bilo koji zapis

Zapis ANY će zatražiti od DNS servera da vrati sve dostupne unose koje je spreman da otkrije.

dig any victim.com @<DNS_IP>

Zonski transfer

Ovaj postupak je skraćeno nazvan Asinhroni potpuni transfer zone (AXFR).

dig axfr @<DNS_IP> #Try zone transfer without domain
dig axfr @<DNS_IP> <DOMAIN> #Try zone transfer guessing the domain
fierce --domain <DOMAIN> --dns-servers <DNS_IP> #Will try toperform a zone transfer against every authoritative name server and if this doesn'twork, will launch a dictionary attack

Više informacija

dig ANY @<DNS_IP> <DOMAIN>     #Any information
dig A @<DNS_IP> <DOMAIN>       #Regular DNS request
dig AAAA @<DNS_IP> <DOMAIN>    #IPv6 DNS request
dig TXT @<DNS_IP> <DOMAIN>     #Information
dig MX @<DNS_IP> <DOMAIN>      #Emails related
dig NS @<DNS_IP> <DOMAIN>      #DNS that resolves that name
dig -x 192.168.0.2 @<DNS_IP>   #Reverse lookup
dig -x 2a00:1450:400c:c06::93 @<DNS_IP> #reverse IPv6 lookup

#Use [-p PORT]  or  -6 (to use ivp6 address of dns)

Automatizacija

for sub in $(cat <WORDLIST>);do dig $sub.<DOMAIN> @<DNS_IP> | grep -v ';\|SOA' | sed -r '/^\s*$/d' | grep $sub | tee -a subdomains.txt;done

dnsenum --dnsserver <DNS_IP> --enum -p 0 -s 0 -o subdomains.txt -f <WORDLIST> <DOMAIN>

Korišćenje nslookup-a

nslookup
> SERVER <IP_DNS> #Select dns server
> 127.0.0.1 #Reverse lookup of 127.0.0.1, maybe...
> <IP_MACHINE> #Reverse lookup of a machine, maybe...

Korisni metasploit moduli

auxiliary/gather/enum_dns #Perform enumeration actions

Korisni nmap skriptovi

#Perform enumeration actions
nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" <IP>

DNS - Obrnuti BF

dnsrecon -r 127.0.0.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r 127.0.1.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r <IP_DNS>/24 -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d active.htb -a -n <IP_DNS> #Zone transfer

{% hint style="info" %} Ako uspete da pronađete poddomene koje se prevode u interne IP adrese, trebalo bi da pokušate da izvršite reverzni DNS BF ka NS-ovima domena tražeći taj IP opseg. {% endhint %}

Još jedan alat za to: https://github.com/amine7536/reverse-scan

Možete upitati reverzne IP opsege na https://bgp.he.net/net/205.166.76.0/24#_dns (ovaj alat takođe pomaže sa BGP).

DNS - Subdomeni BF

dnsenum --dnsserver <IP_DNS> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-1000.txt <DOMAIN>
dnsrecon -D subdomains-1000.txt -d <DOMAIN> -n <IP_DNS>
dnscan -d <domain> -r -w subdomains-1000.txt #Bruteforce subdomains in recursive way, https://github.com/rbsec/dnscan

Serveri Active Directory-ja

dig -t _gc._tcp.lab.domain.com
dig -t _ldap._tcp.lab.domain.com
dig -t _kerberos._tcp.lab.domain.com
dig -t _kpasswd._tcp.lab.domain.com

nslookup -type=srv _kerberos._tcp.<CLIENT_DOMAIN>
nslookup -type=srv _kerberos._tcp.domain.com

nmap --script dns-srv-enum --script-args "dns-srv-enum.domain='domain.com'"

DNSSec

#Query paypal subdomains to ns3.isc-sns.info
nmap -sSU -p53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=paypal.com ns3.isc-sns.info

IPv6

Bruteforce korišćenjem "AAAA" zahteva za prikupljanje IPv6 adresa poddomena.

dnsdict6 -s -t <domain>

Izvršavanje brutalne sile nad obrnutim DNS-om koristeći IPv6 adrese

dnsrevenum6 pri.authdns.ripe.net 2001:67c:2e8::/48 #Will use the dns pri.authdns.ripe.net

DNS Rekurzivni DDoS

Ako je omogućena DNS rekurzija, napadač može falsifikovati poreklo UDP paketa kako bi naterao DNS da pošalje odgovor na server žrtve. Napadač može zloupotrebiti tipove zapisa ANY ili DNSSEC jer obično imaju veće odgovore.
Način da proverite da li DNS podržava rekurziju je da upitate ime domena i proverite da li je flag "ra" (dostupna rekurzija) u odgovoru:

dig google.com A @<IP>

Nedostupno:

Dostupno:

Instantno dostupno podešavanje za procenu ranjivosti i testiranje proboja. Pokrenite kompletan pentest od bilo kog mesta sa preko 20 alatki i funkcija koje idu od izviđanja do izveštavanja. Ne zamenjujemo pentestere - razvijamo prilagođene alatke, module za otkrivanje i eksploataciju kako bismo im vratili nešto vremena da dublje kopaju, otvaraju ljuske i zabavljaju se.

{% embed url="https://pentest-tools.com/" %}

Pošta za nepostojeći nalog

Kroz pregled obaveštenja o nedostavi (NDN) pokrenutog slanjem e-pošte na nevažeću adresu unutar ciljnog domena, često se otkrivaju vredni detalji interne mreže.

Dostupni izveštaj o nedostavi uključuje informacije kao što su:

  • Generišući server je identifikovan kao server.example.com.
  • Obaveštenje o neuspehu za user@example.com sa kodom greške #550 5.1.1 RESOLVER.ADR.RecipNotFound; not found je vraćeno.
  • Interni IP adrese i imena računara su otkriveni u originalnim zaglavljima poruke.
The original message headers were modified for anonymity and now present randomized data:

Generating server: server.example.com

user@example.com
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##

Original message headers:

Received: from MAILSERVER01.domain.example.com (192.168.1.1) by
mailserver02.domain.example.com (192.168.2.2) with Microsoft SMTP Server (TLS)
id 14.3.174.1; Mon, 25 May 2015 14:52:22 -0700
Received: from filter.example.com (203.0.113.1) by
MAILSERVER01.domain.example.com (192.168.1.1) with Microsoft SMTP Server (TLS)
id 14.3.174.1; Mon, 25 May 2015 14:51:22 -0700
X-ASG-Debug-ID: 1432576343-0614671716190e0d0001-zOQ9WJ
Received: from gateway.domainhost.com (gateway.domainhost.com [198.51.100.37]) by
filter.example.com with ESMTP id xVNPkwaqGgdyH5Ag for user@example.com; Mon,
25 May 2015 14:52:13 -0700 (PDT)
X-Envelope-From: sender@anotherdomain.org
X-Apparent-Source-IP: 198.51.100.37

Konfiguracioni fajlovi

host.conf
/etc/resolv.conf
/etc/bind/named.conf
/etc/bind/named.conf.local
/etc/bind/named.conf.options
/etc/bind/named.conf.log
/etc/bind/*

Opasne postavke prilikom konfigurisanja Bind servera:

Opcija Opis
allow-query Definiše koje hostove su dozvoljene da šalju zahteve DNS serveru.
allow-recursion Definiše koje hostove su dozvoljene da šalju rekurzivne zahteve DNS serveru.
allow-transfer Definiše koje hostove su dozvoljene da primaju zone transfere od DNS servera.
zone-statistics Sakuplja statističke podatke zona.

Reference

HackTricks Automatske Komande

Protocol_Name: DNS    #Protocol Abbreviation if there is one.
Port_Number:  53     #Comma separated if there is more than one.
Protocol_Description: Domain Name Service        #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for DNS
Note: |
#These are the commands I run every time I see an open DNS port

dnsrecon -r 127.0.0.0/24 -n {IP} -d {Domain_Name}
dnsrecon -r 127.0.1.0/24 -n {IP} -d {Domain_Name}
dnsrecon -r {Network}{CIDR} -n {IP} -d {Domain_Name}
dig axfr @{IP}
dig axfr {Domain_Name} @{IP}
nslookup
SERVER {IP}
127.0.0.1
{IP}
Domain_Name
exit

https://book.hacktricks.xyz/pentesting/pentesting-dns

Entry_2:
Name: Banner Grab
Description: Grab DNS Banner
Command: dig version.bind CHAOS TXT @DNS

Entry_3:
Name: Nmap Vuln Scan
Description: Scan for Vulnerabilities with Nmap
Command: nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" {IP}

Entry_4:
Name: Zone Transfer
Description: Three attempts at forcing a zone transfer
Command: dig axfr @{IP} && dix axfr @{IP} {Domain_Name} && fierce --dns-servers {IP} --domain {Domain_Name}


Entry_5:
Name: Active Directory
Description: Eunuerate a DC via DNS
Command: dig -t _gc._{Domain_Name} && dig -t _ldap._{Domain_Name} && dig -t _kerberos._{Domain_Name} && dig -t _kpasswd._{Domain_Name} && nmap --script dns-srv-enum --script-args "dns-srv-enum.domain={Domain_Name}"

Entry_6:
Name: consolesless mfs enumeration
Description: DNS enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/dns/dns_amp; set RHOSTS {IP}; set RPORT 53; run; exit' && msfconsole -q -x 'use auxiliary/gather/enum_dns; set RHOSTS {IP}; set RPORT 53; run; exit'

Trenutno dostupno podešavanje za procenu ranjivosti i testiranje proboja. Pokrenite kompletan pentest sa više od 20 alatki i funkcija koje idu od izviđanja do izveštavanja. Mi ne zamenjujemo pentestere - mi razvijamo prilagođene alatke, module za otkrivanje i eksploataciju kako bismo im vratili nešto vremena da dublje kopaju, otvaraju ljuske i zabavljaju se.

{% embed url="https://pentest-tools.com/" %}

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u: