53 - Pentesting DNS
Configuración disponible al instante para evaluación de vulnerabilidades y pruebas de penetración. Ejecuta una pentest completa desde cualquier lugar con más de 20 herramientas y funciones que van desde la recolección de información hasta la generación de informes. No reemplazamos a los pentesters, desarrollamos herramientas personalizadas, módulos de detección y explotación para darles más tiempo para profundizar, abrir shells y divertirse.
Información Básica
El Sistema de Nombres de Dominio (DNS) sirve como el directorio de Internet, permitiendo a los usuarios acceder a sitios web a través de nombres de dominio fáciles de recordar como google.com o facebook.com, en lugar de las direcciones numéricas de Protocolo de Internet (IP). Al traducir nombres de dominio en direcciones IP, el DNS asegura que los navegadores web puedan cargar rápidamente recursos de Internet, simplificando cómo navegamos en el mundo en línea.
Puerto predeterminado: 53
Diferentes Servidores DNS
Servidores Raíz de DNS: Estos se encuentran en la cima de la jerarquía de DNS, gestionando los dominios de nivel superior e interviniendo solo si los servidores de niveles inferiores no responden. La Corporación de Internet para la Asignación de Nombres y Números (ICANN) supervisa su funcionamiento, con un total global de 13.
Servidores Autoritativos: Estos servidores tienen la última palabra para las consultas en sus zonas designadas, ofreciendo respuestas definitivas. Si no pueden proporcionar una respuesta, la consulta se escala a los servidores raíz.
Servidores No Autoritativos: Sin propiedad sobre las zonas de DNS, estos servidores recopilan información de dominio a través de consultas a otros servidores.
Servidor de DNS en Caché: Este tipo de servidor memoriza respuestas de consultas anteriores durante un tiempo establecido para acelerar los tiempos de respuesta para futuras solicitudes, con la duración de la caché dictada por el servidor autoritativo.
Servidor de Reenvío: Cumpliendo un papel directo, los servidores de reenvío simplemente retransmiten consultas a otro servidor.
Resolver: Integrados en computadoras o enrutadores, los resolutores ejecutan la resolución de nombres localmente y no se consideran autoritativos.
Enumeración
Obtención de Banners
No hay banners en DNS, pero puedes obtener la consulta mágica para version.bind. CHAOS TXT
que funcionará en la mayoría de los servidores BIND.
Puedes realizar esta consulta usando dig
:
Además, la herramienta fpdns
también puede identificar la huella del servidor.
También es posible obtener el banner con un script de nmap:
Cualquier registro
El registro ANY solicitará al servidor DNS que devuelva todas las entradas disponibles que esté dispuesto a revelar.
Transferencia de Zona
Este procedimiento se abrevia como Transferencia de Zona Completa Asíncrona
(AXFR
).
Más información
Automatización
Usando nslookup
Módulos útiles de Metasploit
Scripts útiles de nmap
DNS - Fuerza Bruta Inversa
Si logras encontrar subdominios que resuelvan a direcciones IP internas, debes intentar realizar un ataque de fuerza bruta de DNS inverso a los servidores de nombres del dominio solicitando ese rango de IP.
Otra herramienta para hacerlo: https://github.com/amine7536/reverse-scan
Puedes consultar rangos de IP inversos en https://bgp.he.net/net/205.166.76.0/24#_dns (esta herramienta también es útil con BGP).
DNS - Ataque de Fuerza Bruta en Subdominios
Servidores de Active Directory
DNSSec
IPv6
Realizar fuerza bruta utilizando solicitudes "AAAA" para recopilar las direcciones IPv6 de los subdominios.
Realizar fuerza bruta en la resolución inversa de DNS utilizando direcciones IPv6
Ataque de denegación de servicio (DDoS) por Recursión de DNS
Si la recursión de DNS está habilitada, un atacante podría falsificar el origen en el paquete UDP para hacer que el DNS envíe la respuesta al servidor víctima. Un atacante podría abusar de los tipos de registros ANY o DNSSEC ya que suelen tener las respuestas más grandes. La forma de verificar si un DNS admite la recursión es consultar un nombre de dominio y verificar si la bandera "ra" (recursión disponible) está en la respuesta:
No disponible:
Disponible:
Configuración disponible instantáneamente para evaluación de vulnerabilidades y pruebas de penetración. Ejecute una prueba de penetración completa desde cualquier lugar con más de 20 herramientas y funciones que van desde la recolección de información hasta la generación de informes. No reemplazamos a los pentesters, desarrollamos herramientas personalizadas, módulos de detección y explotación para darles tiempo para profundizar, abrir shells y divertirse.
Correo a cuenta inexistente
A través del examen de una notificación de no entrega (NDN) desencadenada por un correo electrónico enviado a una dirección no válida dentro de un dominio objetivo, a menudo se revelan detalles valiosos de la red interna.
El informe de no entrega proporcionado incluye información como:
El servidor generador fue identificado como
server.example.com
.Se devolvió un aviso de error para
user@example.com
con el código de error#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found
.Se revelaron direcciones IP internas y nombres de host en los encabezados del mensaje original.
Archivos de configuración
Configuraciones peligrosas al configurar un servidor Bind:
Referencias
Libro: Network Security Assessment 3rd edition
Comandos Automáticos de HackTricks
Configuración instantánea disponible para evaluación de vulnerabilidades y pruebas de penetración. Ejecute una prueba de penetración completa desde cualquier lugar con más de 20 herramientas y funciones que van desde la recolección de información hasta la generación de informes. No reemplazamos a los pentesters, desarrollamos herramientas personalizadas, módulos de detección y explotación para darles tiempo para profundizar, abrir shells y divertirse.
Última actualización