53 - Pentesting DNS
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Obtén la perspectiva de un hacker sobre tus aplicaciones web, red y nube
Encuentra e informa sobre vulnerabilidades críticas y explotables con un impacto real en el negocio. Utiliza nuestras más de 20 herramientas personalizadas para mapear la superficie de ataque, encontrar problemas de seguridad que te permitan escalar privilegios y usar exploits automatizados para recopilar evidencia esencial, convirtiendo tu arduo trabajo en informes persuasivos.
El Sistema de Nombres de Dominio (DNS) sirve como el directorio de internet, permitiendo a los usuarios acceder a sitios web a través de nombres de dominio fáciles de recordar como google.com o facebook.com, en lugar de las direcciones numéricas de Protocolo de Internet (IP). Al traducir nombres de dominio en direcciones IP, el DNS asegura que los navegadores web puedan cargar rápidamente los recursos de internet, simplificando cómo navegamos por el mundo en línea.
Puerto por defecto: 53
Servidores Raíz DNS: Estos están en la parte superior de la jerarquía DNS, gestionando los dominios de nivel superior y interviniendo solo si los servidores de nivel inferior no responden. La Corporación de Internet para Nombres y Números Asignados (ICANN) supervisa su operación, con un conteo global de 13.
Servidores de Nombres Autorizados: Estos servidores tienen la última palabra para las consultas en sus zonas designadas, ofreciendo respuestas definitivas. Si no pueden proporcionar una respuesta, la consulta se eleva a los servidores raíz.
Servidores de Nombres No Autorizados: Sin propiedad sobre las zonas DNS, estos servidores recopilan información de dominio a través de consultas a otros servidores.
Servidor DNS de Caché: Este tipo de servidor memoriza las respuestas a consultas anteriores durante un tiempo determinado para acelerar los tiempos de respuesta para solicitudes futuras, con la duración de la caché dictada por el servidor autorizado.
Servidor de Reenvío: Cumpliendo un papel sencillo, los servidores de reenvío simplemente retransmiten consultas a otro servidor.
Resolutor: Integrados en computadoras o enrutadores, los resolutores ejecutan la resolución de nombres localmente y no se consideran autorizados.
No hay banners en DNS, pero puedes capturar la consulta mágica para version.bind. CHAOS TXT
, que funcionará en la mayoría de los servidores de nombres BIND.
Puedes realizar esta consulta usando dig
:
Además, la herramienta fpdns
también puede identificar el servidor.
También es posible obtener el banner con un script de nmap:
El registro ANY pedirá al servidor DNS que devuelva todas las entradas disponibles que esté dispuesto a revelar.
Este procedimiento se abrevia como Asynchronous Full Transfer Zone
(AXFR
).
Si puedes encontrar subdominios que resuelven a direcciones IP internas, deberías intentar realizar un BF de dns inverso a los NS del dominio pidiendo ese rango de IP.
Otra herramienta para hacerlo: https://github.com/amine7536/reverse-scan
Puedes consultar rangos de IP inversos en https://bgp.he.net/net/205.166.76.0/24#_dns (esta herramienta también es útil con BGP).
Fuerza bruta utilizando solicitudes "AAAA" para recopilar IPv6 de los subdominios.
Bruteforce reverse DNS utilizando direcciones IPv6
Si la recursión DNS está habilitada, un atacante podría suplantar el origen en el paquete UDP para hacer que el DNS envíe la respuesta al servidor víctima. Un atacante podría abusar de los tipos de registros ANY o DNSSEC ya que suelen tener las respuestas más grandes. La forma de verificar si un DNS soporta recursión es consultar un nombre de dominio y comprobar si la bandera "ra" (recursión disponible) está en la respuesta:
No disponible:
Disponible:
Obtén la perspectiva de un hacker sobre tus aplicaciones web, red y nube
Encuentra e informa sobre vulnerabilidades críticas y explotables con un impacto real en el negocio. Utiliza nuestras más de 20 herramientas personalizadas para mapear la superficie de ataque, encontrar problemas de seguridad que te permitan escalar privilegios y usar exploits automatizados para recopilar evidencia esencial, convirtiendo tu arduo trabajo en informes persuasivos.
Enviar un correo electrónico a una dirección no existente utilizando el dominio de la víctima podría hacer que la víctima envíe una notificación de no entrega (NDN) cuyo encabezado podría contener información interesante como el nombre de servidores internos y direcciones IP.
Al verificar la configuración de un servidor Bind, revisa la configuración del parámetro allow-transfer
ya que indica quién puede realizar transferencias de zona y allow-recursion
y allow-query
ya que indican quién puede enviar solicitudes recursivas y solicitudes a él.
Los siguientes son los nombres de archivos relacionados con DNS que podrían ser interesantes para buscar dentro de las máquinas:
Libro: Evaluación de Seguridad de Redes 3ra edición
Obtén la perspectiva de un hacker sobre tus aplicaciones web, red y nube
Encuentra e informa sobre vulnerabilidades críticas y explotables con un impacto real en el negocio. Utiliza nuestras más de 20 herramientas personalizadas para mapear la superficie de ataque, encontrar problemas de seguridad que te permitan escalar privilegios y usar exploits automatizados para recopilar evidencia esencial, convirtiendo tu arduo trabajo en informes persuasivos.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)