53 - Pentesting DNS
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ottieni la prospettiva di un hacker sulle tue app web, rete e cloud
Trova e segnala vulnerabilità critiche e sfruttabili con un reale impatto sul business. Usa i nostri oltre 20 strumenti personalizzati per mappare la superficie di attacco, trovare problemi di sicurezza che ti consentono di elevare i privilegi e utilizzare exploit automatizzati per raccogliere prove essenziali, trasformando il tuo duro lavoro in report persuasivi.
Il Domain Name System (DNS) funge da directory di internet, consentendo agli utenti di accedere ai siti web tramite nomi di dominio facili da ricordare come google.com o facebook.com, invece degli indirizzi numerici del Protocollo Internet (IP). Traducendo i nomi di dominio in indirizzi IP, il DNS garantisce che i browser web possano caricare rapidamente le risorse internet, semplificando il modo in cui navighiamo nel mondo online.
Porta predefinita: 53
DNS Root Servers: Questi sono al vertice della gerarchia DNS, gestendo i domini di primo livello e intervenendo solo se i server di livello inferiore non rispondono. L'Internet Corporation for Assigned Names and Numbers (ICANN) supervisiona il loro funzionamento, con un conteggio globale di 13.
Authoritative Nameservers: Questi server hanno l'ultima parola per le query nelle loro zone designate, offrendo risposte definitive. Se non possono fornire una risposta, la query viene escalata ai server root.
Non-authoritative Nameservers: Mancando di proprietà sulle zone DNS, questi server raccolgono informazioni sui domini tramite query ad altri server.
Caching DNS Server: Questo tipo di server memorizza le risposte alle query precedenti per un tempo prestabilito per accelerare i tempi di risposta per le richieste future, con la durata della cache determinata dal server autorevole.
Forwarding Server: Svolgendo un ruolo semplice, i server di inoltro trasmettono semplicemente le query a un altro server.
Resolver: Integrati all'interno di computer o router, i resolver eseguono la risoluzione dei nomi localmente e non sono considerati autorevoli.
Non ci sono banner nel DNS, ma puoi ottenere la query magica per version.bind. CHAOS TXT
che funzionerà sulla maggior parte dei nameserver BIND.
Puoi eseguire questa query utilizzando dig
:
Inoltre, lo strumento fpdns
può anche identificare il server.
È anche possibile acquisire il banner anche con uno script nmap:
Il record ANY chiederà al server DNS di restituire tutte le voci disponibili che è disposto a rivelare.
Questa procedura è abbreviata Asynchronous Full Transfer Zone
(AXFR
).
Se riesci a trovare sottodomini che risolvono a indirizzi IP interni, dovresti provare a eseguire un attacco di brute force DNS inverso sui NS del dominio chiedendo per quel range di IP.
Un altro strumento per farlo: https://github.com/amine7536/reverse-scan
Puoi interrogare i range IP inversi su https://bgp.he.net/net/205.166.76.0/24#_dns (questo strumento è utile anche con BGP).
Forza bruta utilizzando richieste "AAAA" per raccogliere IPv6 dei sottodomini.
Bruteforce reverse DNS utilizzando indirizzi IPv6
Se la ricorsione DNS è abilitata, un attaccante potrebbe falsificare l'origine nel pacchetto UDP per far sì che il DNS invii la risposta al server vittima. Un attaccante potrebbe abusare dei tipi di record ANY o DNSSEC poiché tendono ad avere le risposte più grandi. Il modo per verificare se un DNS supporta la ricorsione è interrogare un nome di dominio e controllare se il flag "ra" (ricorsione disponibile) è nella risposta:
Non disponibile:
Disponibile:
Ottieni la prospettiva di un hacker sulle tue app web, rete e cloud
Trova e segnala vulnerabilità critiche ed esploitabili con un reale impatto sul business. Utilizza i nostri oltre 20 strumenti personalizzati per mappare la superficie di attacco, trovare problemi di sicurezza che ti consentono di elevare i privilegi e utilizzare exploit automatizzati per raccogliere prove essenziali, trasformando il tuo duro lavoro in report persuasivi.
Attraverso l'esame di una notifica di mancata consegna (NDN) attivata da un'email inviata a un indirizzo non valido all'interno di un dominio target, spesso vengono divulgati dettagli preziosi sulla rete interna.
Il rapporto di mancata consegna fornito include informazioni come:
Il server generatore è stato identificato come server.example.com
.
È stata restituita una notifica di errore per user@example.com
con il codice di errore #550 5.1.1 RESOLVER.ADR.RecipNotFound; non trovato
.
Gli indirizzi IP interni e i nomi host sono stati divulgati negli header del messaggio originale.
Impostazioni pericolose durante la configurazione di un server Bind:
Opzione | Descrizione |
| Definisce quali host sono autorizzati a inviare richieste al server DNS. |
| Definisce quali host sono autorizzati a inviare richieste ricorsive al server DNS. |
| Definisce quali host sono autorizzati a ricevere trasferimenti di zona dal server DNS. |
| Raccoglie dati statistici delle zone. |
Libro: Network Security Assessment 3rd edition
Ottieni la prospettiva di un hacker sulle tue app web, rete e cloud
Trova e segnala vulnerabilità critiche e sfruttabili con un reale impatto sul business. Usa i nostri oltre 20 strumenti personalizzati per mappare la superficie di attacco, trovare problemi di sicurezza che ti permettano di elevare i privilegi e utilizzare exploit automatizzati per raccogliere prove essenziali, trasformando il tuo duro lavoro in report persuasivi.
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)