53 - Pentesting DNS
Configuração instantaneamente disponível para avaliação de vulnerabilidades e testes de penetração. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão de reconhecimento a relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.
Informações Básicas
O Sistema de Nomes de Domínio (DNS) serve como o diretório da internet, permitindo que os usuários acessem sites através de nomes de domínio fáceis de lembrar como google.com ou facebook.com, em vez dos endereços numéricos de Protocolo de Internet (IP). Ao traduzir nomes de domínio em endereços IP, o DNS garante que os navegadores da web possam carregar rapidamente os recursos da internet, simplificando a forma como navegamos no mundo online.
Porta padrão: 53
Diferentes Servidores DNS
Servidores Raiz DNS: Estes estão no topo da hierarquia DNS, gerenciando os domínios de nível superior e intervindo apenas se os servidores de nível inferior não responderem. A Internet Corporation for Assigned Names and Numbers (ICANN) supervisiona sua operação, com uma contagem global de 13.
Servidores de Nomes Autorizados: Esses servidores têm a palavra final para consultas em suas zonas designadas, oferecendo respostas definitivas. Se não puderem fornecer uma resposta, a consulta é escalada para os servidores raiz.
Servidores de Nomes Não Autorizados: Sem propriedade sobre zonas DNS, esses servidores coletam informações de domínio por meio de consultas a outros servidores.
Servidor DNS de Cache: Este tipo de servidor memoriza respostas de consultas anteriores por um tempo determinado para acelerar os tempos de resposta para solicitações futuras, com a duração do cache ditada pelo servidor autorizado.
Servidor de Encaminhamento: Cumprindo um papel simples, os servidores de encaminhamento apenas retransmitem consultas para outro servidor.
Resolvedor: Integrados em computadores ou roteadores, os resolvedores executam a resolução de nomes localmente e não são considerados autorizados.
Enumeração
Captura de Banner
Não há banners no DNS, mas você pode capturar a consulta mágica para version.bind. CHAOS TXT
, que funcionará na maioria dos servidores de nomes BIND.
Você pode realizar essa consulta usando dig
:
Além disso, a ferramenta fpdns
também pode identificar a impressão digital do servidor.
Também é possível capturar o banner com um script nmap:
Qualquer registro
O registro ANY pedirá ao servidor DNS para retornar todas as entradas disponíveis que está disposto a divulgar.
Transferência de Zona
Este procedimento é abreviado como Asynchronous Full Transfer Zone
(AXFR
).
Mais informações
Automação
Usando nslookup
Módulos úteis do metasploit
Scripts nmap úteis
DNS - Reverse BF
Se você conseguir encontrar subdomínios resolvendo para endereços IP internos, deve tentar realizar um BF de dns reverso para os NSs do domínio solicitando aquele intervalo de IP.
Outra ferramenta para isso: https://github.com/amine7536/reverse-scan
Você pode consultar intervalos de IP reversos em https://bgp.he.net/net/205.166.76.0/24#_dns (essa ferramenta também é útil com BGP).
DNS - Subdomínios BF
Servidores Active Directory
DNSSec
IPv6
Força bruta usando requisições "AAAA" para coletar IPv6 dos subdomínios.
Bruteforce reverse DNS usando endereços IPv6
DNS Recursion DDoS
Se a recursão DNS estiver habilitada, um atacante poderia falsificar a origem no pacote UDP para fazer com que o DNS envie a resposta para o servidor da vítima. Um atacante poderia abusar dos tipos de registro ANY ou DNSSEC, pois costumam ter as respostas maiores. A maneira de verificar se um DNS suporta recursão é consultar um nome de domínio e verificar se a bandeira "ra" (recursão disponível) está na resposta:
Não disponível:
Disponível:
Configuração instantaneamente disponível para avaliação de vulnerabilidades e testes de penetração. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão de reconhecimento a relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.
E-mail para conta inexistente
Através da análise de uma notificação de não entrega (NDN) acionada por um e-mail enviado para um endereço inválido dentro de um domínio alvo, detalhes valiosos da rede interna são frequentemente divulgados.
O relatório de não entrega fornecido inclui informações como:
O servidor gerador foi identificado como
server.example.com
.Um aviso de falha para
user@example.com
com o código de erro#550 5.1.1 RESOLVER.ADR.RecipNotFound; não encontrado
foi retornado.Endereços IP internos e nomes de host foram divulgados nos cabeçalhos da mensagem original.
Arquivos de configuração
Configurações perigosas ao configurar um servidor Bind:
Opção | Descrição |
| Define quais hosts têm permissão para enviar solicitações ao servidor DNS. |
| Define quais hosts têm permissão para enviar solicitações recursivas ao servidor DNS. |
| Define quais hosts têm permissão para receber transferências de zona do servidor DNS. |
| Coleta dados estatísticos das zonas. |
Referências
Livro: Network Security Assessment 3rd edition
Comandos Automáticos HackTricks
Configuração disponível instantaneamente para avaliação de vulnerabilidades e testes de penetração. Execute um teste de penetração completo de qualquer lugar com mais de 20 ferramentas e recursos que vão da recon para a geração de relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.
Last updated