53 - Pentesting DNS

Reading time: 9 minutes

Grundlegende Informationen

Das Domain Name System (DNS) dient als Verzeichnis des Internets und ermöglicht es Benutzern, auf Websites über einfach zu merkende Domainnamen wie google.com oder facebook.com zuzugreifen, anstatt über die numerischen Internetprotokoll (IP)-Adressen. Durch die Übersetzung von Domainnamen in IP-Adressen stellt das DNS sicher, dass Webbrowser Internetressourcen schnell laden können, was die Navigation in der Online-Welt vereinfacht.

Standardport: 53

PORT     STATE SERVICE  REASON
53/tcp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
5353/udp open  zeroconf udp-response
53/udp   open  domain  Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)

Verschiedene DNS-Server

• DNS-Root-Server: Diese stehen an der Spitze der DNS-Hierarchie, verwalten die Top-Level-Domains und treten nur ein, wenn niedrigere Server nicht antworten. Die Internet Corporation for Assigned Names and Numbers (ICANN) überwacht ihren Betrieb, mit einer globalen Anzahl von 13.
• Autorisierte Nameserver: Diese Server haben das letzte Wort für Anfragen in ihren zugewiesenen Zonen und bieten definitive Antworten. Wenn sie keine Antwort geben können, wird die Anfrage an die Root-Server weitergeleitet.
• Nicht-autorisierte Nameserver: Diese Server haben keine Eigentumsrechte an DNS-Zonen und sammeln Domaininformationen durch Anfragen an andere Server.
• Caching-DNS-Server: Diese Art von Server speichert frühere Abfrageantworten für eine bestimmte Zeit, um die Antwortzeiten für zukünftige Anfragen zu beschleunigen, wobei die Cache-Dauer vom autoritativen Server bestimmt wird.
• Weiterleitungsserver: Diese Server haben eine einfache Rolle und leiten Anfragen einfach an einen anderen Server weiter.
• Resolver: In Computer oder Router integriert, führen Resolver die Namensauflösung lokal durch und gelten nicht als autoritativ.

Enumeration

Banner Grabbing

Es gibt keine Banner in DNS, aber Sie können die magische Abfrage für version.bind. CHAOS TXT durchführen, die auf den meisten BIND-Nameservern funktioniert.
Sie können diese Abfrage mit dig durchführen:

dig version.bind CHAOS TXT @DNS

Darüber hinaus kann das Tool fpdns auch den Server fingerprinten.

Es ist auch möglich, das Banner mit einem nmap-Skript abzurufen:

--script dns-nsid

Any record

Der Datensatz ANY fordert den DNS-Server auf, alle verfügbaren Einträge zurückzugeben, die er bereit ist offenzulegen.

dig any victim.com @<DNS_IP>

Zonenübertragung

Dieses Verfahren wird als Asynchronous Full Transfer Zone (AXFR) abgekürzt.

dig axfr @<DNS_IP> #Try zone transfer without domain
dig axfr @<DNS_IP> <DOMAIN> #Try zone transfer guessing the domain
fierce --domain <DOMAIN> --dns-servers <DNS_IP> #Will try toperform a zone transfer against every authoritative name server and if this doesn'twork, will launch a dictionary attack

Weitere Informationen

dig ANY @<DNS_IP> <DOMAIN>     #Any information
dig A @<DNS_IP> <DOMAIN>       #Regular DNS request
dig AAAA @<DNS_IP> <DOMAIN>    #IPv6 DNS request
dig TXT @<DNS_IP> <DOMAIN>     #Information
dig MX @<DNS_IP> <DOMAIN>      #Emails related
dig NS @<DNS_IP> <DOMAIN>      #DNS that resolves that name
dig -x 192.168.0.2 @<DNS_IP>   #Reverse lookup
dig -x 2a00:1450:400c:c06::93 @<DNS_IP> #reverse IPv6 lookup

#Use [-p PORT]  or  -6 (to use ivp6 address of dns)

Automatisierung

for sub in $(cat <WORDLIST>);do dig $sub.<DOMAIN> @<DNS_IP> | grep -v ';\|SOA' | sed -r '/^\s*$/d' | grep $sub | tee -a subdomains.txt;done

dnsenum --dnsserver <DNS_IP> --enum -p 0 -s 0 -o subdomains.txt -f <WORDLIST> <DOMAIN>

Verwendung von nslookup

nslookup
> SERVER <IP_DNS> #Select dns server
> 127.0.0.1 #Reverse lookup of 127.0.0.1, maybe...
> <IP_MACHINE> #Reverse lookup of a machine, maybe...

Nützliche Metasploit-Module

auxiliary/gather/enum_dns #Perform enumeration actions

Nützliche nmap-Skripte

#Perform enumeration actions
nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" <IP>

DNS - Reverse BF

dnsrecon -r 127.0.0.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r 127.0.1.0/24 -n <IP_DNS>  #DNS reverse of all of the addresses
dnsrecon -r <IP_DNS>/24 -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d active.htb -a -n <IP_DNS> #Zone transfer

Ein weiteres Tool dafür: https://github.com/amine7536/reverse-scan

Sie können Reverse-IP-Bereiche abfragen unter https://bgp.he.net/net/205.166.76.0/24#_dns (dieses Tool ist auch hilfreich mit BGP).

DNS - Subdomains BF

dnsenum --dnsserver <IP_DNS> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-1000.txt <DOMAIN>
dnsrecon -D subdomains-1000.txt -d <DOMAIN> -n <IP_DNS>
dnscan -d <domain> -r -w subdomains-1000.txt #Bruteforce subdomains in recursive way, https://github.com/rbsec/dnscan

Active Directory-Server

dig -t _gc._tcp.lab.domain.com
dig -t _ldap._tcp.lab.domain.com
dig -t _kerberos._tcp.lab.domain.com
dig -t _kpasswd._tcp.lab.domain.com

nslookup -type=srv _kerberos._tcp.<CLIENT_DOMAIN>
nslookup -type=srv _kerberos._tcp.domain.com

nmap --script dns-srv-enum --script-args "dns-srv-enum.domain='domain.com'"

DNSSec

#Query paypal subdomains to ns3.isc-sns.info
nmap -sSU -p53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=paypal.com ns3.isc-sns.info

IPv6

Brute-Force mit "AAAA"-Anfragen, um die IPv6 der Subdomains zu sammeln.

dnsdict6 -s -t <domain>

Bruteforce Reverse-DNS mit IPv6-Adressen

dnsrevenum6 pri.authdns.ripe.net 2001:67c:2e8::/48 #Will use the dns pri.authdns.ripe.net

DNS-Rekursion DDoS

Wenn DNS-Rekursion aktiviert ist, könnte ein Angreifer die Ursprungsadresse im UDP-Paket fälschen, um die DNS dazu zu bringen, die Antwort an den Opferserver zu senden. Ein Angreifer könnte die ANY- oder DNSSEC-Recordtypen missbrauchen, da sie in der Regel die größeren Antworten haben.
Die Möglichkeit, um zu überprüfen, ob ein DNS Rekursion unterstützt, besteht darin, einen Domainnamen abzufragen und zu prüfen, ob das Flag "ra" (Rekursion verfügbar) in der Antwort enthalten ist:

dig google.com A @<IP>

Nicht verfügbar:

Verfügbar:

E-Mail an nicht existierenden Account

Das Senden einer E-Mail an eine nicht existierende Adresse unter Verwendung der Domain des Opfers könnte das Opfer dazu bringen, eine Benachrichtigung über nicht zugestellte Nachrichten (NDN) zu senden, deren Header interessante Informationen wie die Namen interner Server und IP-Adressen enthalten könnten.

Post-Exploitation

• Bei der Überprüfung der Konfiguration eines Bind-Servers überprüfen Sie die Konfiguration des Parameters allow-transfer, da er angibt, wer Zonentransfers durchführen kann, sowie allow-recursion und allow-query, da sie angeben, wer rekursive Anfragen und Anfragen an ihn senden kann.
• Die folgenden sind die Namen von DNS-bezogenen Dateien, die interessant sein könnten, um sie auf Maschinen zu durchsuchen:

host.conf
/etc/resolv.conf
/etc/bind/named.conf
/etc/bind/named.conf.local
/etc/bind/named.conf.options
/etc/bind/named.conf.log
/etc/bind/*

Referenzen

• https://www.myrasecurity.com/en/knowledge-hub/dns/
• Buch: Network Security Assessment 3. Auflage

HackTricks Automatische Befehle

Protocol_Name: DNS    #Protocol Abbreviation if there is one.
Port_Number:  53     #Comma separated if there is more than one.
Protocol_Description: Domain Name Service        #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for DNS
Note: |
#These are the commands I run every time I see an open DNS port

dnsrecon -r 127.0.0.0/24 -n {IP} -d {Domain_Name}
dnsrecon -r 127.0.1.0/24 -n {IP} -d {Domain_Name}
dnsrecon -r {Network}{CIDR} -n {IP} -d {Domain_Name}
dig axfr @{IP}
dig axfr {Domain_Name} @{IP}
nslookup
SERVER {IP}
127.0.0.1
{IP}
Domain_Name
exit

https://book.hacktricks.xyz/pentesting/pentesting-dns

Entry_2:
Name: Banner Grab
Description: Grab DNS Banner
Command: dig version.bind CHAOS TXT @DNS

Entry_3:
Name: Nmap Vuln Scan
Description: Scan for Vulnerabilities with Nmap
Command: nmap -n --script "(default and *dns*) or fcrdns or dns-srv-enum or dns-random-txid or dns-random-srcport" {IP}

Entry_4:
Name: Zone Transfer
Description: Three attempts at forcing a zone transfer
Command: dig axfr @{IP} && dix axfr @{IP} {Domain_Name} && fierce --dns-servers {IP} --domain {Domain_Name}


Entry_5:
Name: Active Directory
Description: Eunuerate a DC via DNS
Command: dig -t _gc._{Domain_Name} && dig -t _ldap._{Domain_Name} && dig -t _kerberos._{Domain_Name} && dig -t _kpasswd._{Domain_Name} && nmap --script dns-srv-enum --script-args "dns-srv-enum.domain={Domain_Name}"

Entry_6:
Name: consolesless mfs enumeration
Description: DNS enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/dns/dns_amp; set RHOSTS {IP}; set RPORT 53; run; exit' && msfconsole -q -x 'use auxiliary/gather/enum_dns; set RHOSTS {IP}; set RPORT 53; run; exit'