Vyuzitie DNS - zone transfer

13.09.2007 09:29 | blackhole

Aj ked webapp hack je dnes najrozsirenejsi, v tomto kratkom clanku zosumarizujem vyuzitie DNS z pohladu utocnika, par nastrojov, s ktorymi som sa pocas svojej praxe stretol.

Pre kohokolvek, kto by namietal, ze to, co som tu popisal, je uz davno prezite, tomu odporucam dokonca aj knizku Hacking exposed, kde DNS vobec nie je podcenovane.

Vysvetlovat, ako funguje DNS asi nema moc vyznam, pretoze predpokladam urcitu uroven citatelov. Ako ho vsak vyuzit v pripravnej faze utoku?

Jedine co o nasom cieli vieme, je nazov domeny, pre jednoduchost si zvolim domenu www.nasciel.com (tato domena v case pisania neexistuje, preto so pouzil urcitu konkretnu domenu, zaznamy som vsak zmenil tak, aby sa nedala identifikovat).

Najprv pouzijem cestu, ktora je lahsia, ale v pripade, ze sa podari, nebudeme musiet ist cestou tazkou.

http://www.checkdns.net je prvy online tool, ktory mozete pouzit, ale podobnych je na webe viac ako dost. O nasej domene nasciel.com mi CheckDNS povedal nasledovne:

Got DNS list for 'nasciel.com' from NS.UU.NET or NS.UU.NET or NS.UU.NET
Found NS record: ns1.providerko.com[55.111.XX.XX], was resolved to IP address by NS.UU.NET
Found NS record: ns2.providerko.com[55.111.XX.XXX], was resolved to IP address by NS.UU.NET
Domain has 2 DNS server(s)
* mame dva ns servre a ich ip pre nasu domenu...

Master DNS defined by SOA (bigmuff.providerisko.com) was not found among NS records.
All 2 your servers have the same zone version 2007010802
* master ns record sa stratil :) - prvy znak, ze administrator mohol nieco prehliadnut, pripadne nie je taky dosledny, pre utocnika je to dobry znak, a mame dalsi ns server...

NS list mismatch: registration authority reports that domain is hosted on the following servers: 'ns1.providerko.com; ns2.providerko.com';, but DNS server ns1.providerko.com reports domain to be hosted on 'ns.providerko.com; bigmuff.providerisko.com'. Please make sure that you configure the same DNS servers in registrar database and on your DNS
* dalsi znak dns miskonfiguracie, zistili sme, ze pravdepodobne existuje aj dalsi ns server, tj uz mame 4!

v tomto bode skoncim, aj ked report pokracuje.

Zistili sme 4 servre, ktore podla vsetkeho trpia nejakymi neduhmi. Nasleduje (niektorymi zatracovany a podcenovany) zone transfer. Je nan vela nastrojov, ale pouzijem nslookup vo windowsxp (pokial sa pamatam, zone transfer v *nixovej verzii nslookup nefunguje, ale nechcem sa vadit)

> server ns.providerko.com
Default Server: ns2.providerko.com
Served by:
- ns2.providerko.com
55.111.XX.XXX
providerko.com
- ns.providerko.com

providerko.com
- ns1.providerko.com
55.111.XX.XX
providerko.com

> ls -d nasciel.com
[ns2.providerko.com]
nasciel.com. SOA bigmuff.providerisko.com hostmaster.bigmuff.providerisko.com. (20
06040602 10800 3600 3600000 86400)
nasciel.com. NS ns.providerko.com
nasciel.com. NS ns.providerisko.com
nasciel.com. MX 10 mx1.providerisko.com
nasciel.com. MX 20 mx2.providerisko.com
nasciel.com. MX 30 mx3.providerisko.com
mail.nasciel.com IN jednaIP
pop3.nasciel.com IN druhaIP
webmail.nasciel.com IN tretiaIP
fw.nasciel.com IN stvrtaIp
test.nasciel.com IN piataIp
test10.nasciel.com IN siestaIP
phpmyadmin.nasciel.com IN siedmaIP

Tento pre niekoho nezmyselny vystup obsahuje zoznam subdomen aj s ip adresami. tie mena vsak hovoria o funkcii masin schovanych za IP, a urcite by mna osobne zaujimali masiny phpmyadmin, test, test10... v praxi sa stretnete s ovela stavnatejsimi nazvami, ktore by ste inym sposobom mozno nezistili, alebo by vam to trvalo neumerne dlho
tento jednoduchy test vsak pre kompletnost a doslednost pouzijem na vsetkych servroch a zistim, ze len tento jeden previedol zone transfer. ostatne query zamietli.
Toto bol jednoduchy sposob ziskania informacii vdaka DNS a vdaka chybe administratora, ktora je pre niekoho banalna, ale moze viest k neuveritelnym objavom.

Ten zlozitejsi sposob spociva v manualnom resolvovani. nslookup je opat nas priatel (alebo host, dig) a bud si napiseme skript, alebo stukame ako blazni a snazime sa utrafit mena.
kto vsak nechce stukat a radsej pocka, moze pouzit DNS bruteforcer, pre win TXDNS, ktory pri downloade ma namelist a dnslist. pomoze nam brutforcenut nazvy potencialnych subdomen. podobne aj *nix like maju taketo nastroje
pripominam, ze to zabera velmi vela casu, ale tie vysledky vo vacsine pripadov stacia na vytypovanie spravneho ciela

vsetci, ktori si doteraz neuvedomovali dolezitost dns, dufam, ze po tomto pochopite vyznam. kazda existujuca subdomena okrem www dava sancu pochopit naming convention, ktoru nas ciel pouzil a prisposobit vyhladavanie potencialneho vhodneho kandidata na utok.

vdaka za pozornost a podnetne komentare.

    • Re: Vyuzitie DNS - zone transfer 13.09.2007 | 15:07
      Avatar blackhole   Návštevník

      treba si priznat, ze bholova masaz mozgov zabrala a zacinaju sa to kopit zaujimave clanky.
      a predpokladam ze aj kvalitne... (to pre neznalost v clanku popisanej problematiky neviem posudit).
      kazdopadne drzim palec premene blackhole.sk

    • Re: Vyuzitie DNS - zone transfer 13.09.2007 | 17:16
      Avatar stanojr   Používateľ

      vacsina dns serverov ma vypnuty axfr transfer, takze vylistovat domeny sa neda vsade

      zase je zaujimave ze niektore dns servery pre tld mali povoleny axfr, davnejsie to bola myslim kanada, tak sa dali vylistovat komplet vsetky domeny kanady z ich dns servermi, ale uz to nefunguje

      • Re: Vyuzitie DNS - zone transfer 13.09.2007 | 20:17
        Avatar blackhole   Návštevník

        axfr by mal byt povoleny len medzi dns servrami hostujucimi recordy, a nie medzi servrom a klientom.

        ucelom clanku vsak je poukazat na to, ako sa daju odhalit zaujimave ciele. defacement je totiz len vrcholom ladovca, utoci sa kvoli ziskaniu informacii, priemyselnej spionazi atd...

        --------------------
        http://sk.zone-h.org