53 - Pentesting DNS
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Obtén la perspectiva de un hacker sobre tus aplicaciones web, red y nube
Encuentra e informa sobre vulnerabilidades críticas y explotables con un impacto real en el negocio. Utiliza nuestras más de 20 herramientas personalizadas para mapear la superficie de ataque, encontrar problemas de seguridad que te permitan escalar privilegios y usar exploits automatizados para recopilar evidencia esencial, convirtiendo tu arduo trabajo en informes persuasivos.
El Sistema de Nombres de Dominio (DNS) sirve como el directorio de internet, permitiendo a los usuarios acceder a sitios web a través de nombres de dominio fáciles de recordar como google.com o facebook.com, en lugar de las direcciones numéricas de Protocolo de Internet (IP). Al traducir nombres de dominio en direcciones IP, el DNS asegura que los navegadores web puedan cargar rápidamente los recursos de internet, simplificando cómo navegamos por el mundo en línea.
Puerto por defecto: 53
Servidores Raíz DNS: Estos están en la parte superior de la jerarquía DNS, gestionando los dominios de nivel superior y interviniendo solo si los servidores de nivel inferior no responden. La Corporación de Internet para Nombres y Números Asignados (ICANN) supervisa su operación, con un conteo global de 13.
Servidores de Nombres Autorizados: Estos servidores tienen la última palabra para las consultas en sus zonas designadas, ofreciendo respuestas definitivas. Si no pueden proporcionar una respuesta, la consulta se eleva a los servidores raíz.
Servidores de Nombres No Autorizados: Sin propiedad sobre las zonas DNS, estos servidores recopilan información de dominio a través de consultas a otros servidores.
Servidor DNS de Caché: Este tipo de servidor memoriza las respuestas a consultas anteriores durante un tiempo determinado para acelerar los tiempos de respuesta para solicitudes futuras, con la duración de la caché dictada por el servidor autorizado.
Servidor de Reenvío: Cumpliendo un papel sencillo, los servidores de reenvío simplemente retransmiten consultas a otro servidor.
Resolutor: Integrados en computadoras o enrutadores, los resolutores ejecutan la resolución de nombres localmente y no se consideran autorizados.
No hay banners en DNS, pero puedes capturar la consulta mágica para version.bind. CHAOS TXT
, que funcionará en la mayoría de los servidores de nombres BIND.
Puedes realizar esta consulta usando dig
:
Además, la herramienta fpdns
también puede identificar el servidor.
También es posible obtener el banner con un script de nmap:
El registro ANY pedirá al servidor DNS que devuelva todas las entradas disponibles que esté dispuesto a revelar.
Este procedimiento se abrevia como Asynchronous Full Transfer Zone
(AXFR
).
Si puedes encontrar subdominios que resuelven a direcciones IP internas, deberías intentar realizar un BF de dns inverso a los NS del dominio pidiendo ese rango de IP.
Otra herramienta para hacerlo: https://github.com/amine7536/reverse-scan
Puedes consultar rangos de IP inversos en https://bgp.he.net/net/205.166.76.0/24#_dns (esta herramienta también es útil con BGP).
Fuerza bruta utilizando solicitudes "AAAA" para recopilar IPv6 de los subdominios.
Bruteforce reverse DNS utilizando direcciones IPv6
Si la recursión DNS está habilitada, un atacante podría suplantar el origen en el paquete UDP para hacer que el DNS envíe la respuesta al servidor víctima. Un atacante podría abusar de los tipos de registro ANY o DNSSEC ya que suelen tener las respuestas más grandes. La forma de verificar si un DNS soporta recursión es consultar un nombre de dominio y comprobar si la bandera "ra" (recursión disponible) está en la respuesta:
No disponible:
Disponible:
Obtén la perspectiva de un hacker sobre tus aplicaciones web, red y nube
Encuentra e informa sobre vulnerabilidades críticas y explotables con un impacto real en el negocio. Utiliza nuestras más de 20 herramientas personalizadas para mapear la superficie de ataque, encontrar problemas de seguridad que te permitan escalar privilegios y usar exploits automatizados para recopilar evidencia esencial, convirtiendo tu arduo trabajo en informes persuasivos.
A través del examen de una notificación de no entrega (NDN) provocada por un correo electrónico enviado a una dirección inválida dentro de un dominio objetivo, a menudo se divulgan valiosos detalles de la red interna.
El informe de no entrega proporcionado incluye información como:
El servidor generador fue identificado como server.example.com
.
Se devolvió un aviso de fallo para user@example.com
con el código de error #550 5.1.1 RESOLVER.ADR.RecipNotFound; no encontrado
.
Se divulgaron direcciones IP internas y nombres de host en los encabezados del mensaje original.
Peligrosos ajustes al configurar un servidor Bind:
Libro: Network Security Assessment 3rd edition
Obtén la perspectiva de un hacker sobre tus aplicaciones web, red y nube
Encuentra e informa sobre vulnerabilidades críticas y explotables con un impacto real en el negocio. Utiliza nuestras más de 20 herramientas personalizadas para mapear la superficie de ataque, encontrar problemas de seguridad que te permitan escalar privilegios y usar exploits automatizados para recopilar evidencia esencial, convirtiendo tu arduo trabajo en informes persuasivos.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)