有时候我会在自己的PC机上启一个dns代理服务器,用来记录本机所有的DNS查询,收集各大公司的域名。
启动脚本的时候,会自动配置主DNS服务器到127.0.0.1,通过netsh命令实现即可:
netsh interface ipv4 set dnsservers "本地连接" static 127.0.0.1 netsh interface ipv4 add dns name="本地连接" addr="8.8.8.8" index=2
以上将主dns设置为127.0.0.1,辅dns服务器设置为8.8.8.8。
同理,在代理程序中止的时候,又自动将DNS设置还原为原始IP。
更新日志:
渗透测试时,前期的信息收集包括主机(服务)发现。 子域名暴力枚举是十分常用的主机查找手段。
我写了一个改进的小脚本,用于暴力枚举子域名,它的改进在于:
以下是我扫描baidu.com得到的结果,共发现1521个域名,能找到不少内网域名和IP,效果还是非常不错的。
它甚至可以发现这样的域名: data.test.noah.baidu.com [10.36.166.17] 未经改进的工具通常是探测不到这个域名的。
扫描其他几家公司,情况一样,可以发现不少内网域名、IP(段)、甚至是十分隐蔽的后台。
这就是不做private DNS 和 public DNS隔离的坏处啊,内网的相关拓扑和服务轻易暴露给黑客了。
https://www.lijiejie.com/wp-content/uploads/2015/04/baidu.com_.txt
youku.com tudou.com letv.com renren.com tencent.com
下载脚本: https://github.com/lijiejie/subDomainsBrute
请先安装依赖的dnspython,在install目录下。
如果你有什么意见、改进,请反馈,谢谢
附运行时截图一张:
前文介绍了生成DNS查询,本文继续介绍如何解码DNS服务器发回的响应文本。
首先应该明确,响应和查询的基本格式是一样的,都是由5个部分组成:header、Question、Answer、 Authority、Additional。并且,Header的格式也完全相同。
拿到Response首先应该检查RCODE,因为域传送多半并不成功。检查第3个字节的最后四位即可:
RCODE = struct.unpack('!H', response[2:4] )[0] & 0b00001111 # last 4 bits is RCODE
if RCODE != 0:
print 'Transfer Failed. %>_<%'
sys.exit(-1)
这里是拿两个字节和二进制数00001111取and。
RRs是指Resource Record,资源记录。 该值位于第7、8字节。
在前文查询消息中,已经记录了Query区块的长度,用到这里直接跳到Answers区块:
OFFSET = 12 + LEN_QUERY + 4 # header = 12, type + class = 4
12是Header的长度。
Answer记录的基本格式是:
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| |
/ /
/ NAME /
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| TYPE |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| CLASS |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| TTL |
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| RDLENGTH |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--|
/ RDATA /
/ /
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
这里很关键的是Name字段。它有两种格式:
如果是第二种表示法,则起始的两个字节是:
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 1 | 1 | 消息内部的偏移量 | |||||||||||||
于是,只需要检查前两个字节,就可以知道Name采用了何种表示法了。如果为11,就跳到对应的偏移位置去读域名。
当Type的值为1,即A记录时,RDLENGTH的值是4,并且RDATA表示的是4个字节的IP地址。循环读取记录直到消息结尾。
笔者只处理了A记录:
建议在编码的时候,一定要使用WireShark抓包,并且对照分析各个section的内容。
在DNS查询中,axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录。
前面三篇日志中,笔者分别使用nmap、dig、nslookup来查询域传送记录。
本篇介绍自己动手,用python写一个简单的DNS客户端,仅实现axfr查询,并且只处理A记录。
DNS请求和响应,都是由5个区块组成的,如下图所示:
+---------------------+
| Header |
+---------------------+
| Question | the question for the name server
+---------------------+
| Answer | RRs answering the question
+---------------------+
| Authority | RRs pointing toward an authority
+---------------------+
| Additional | RRs holding additional information
+---------------------+
axfr请求的包,只填充header和Question区块就可以了。
Header的格式是这样的: 继续阅读DNS域传送漏洞(四) — python实现DNS axfr客户端[Query]
本篇介绍批量扫描存在DNS域传送漏洞的DNS服务器。
笔者选择了安全性比较差的教育网,共扫描1604所高校,发现漏洞主机396台。
高校的域名可从该页面抓取到:http://ziyuan.eol.cn/college.php?listid=128
#encoding=gbk
import urllib2
import re
import threading
import os
html_doc = urllib2.urlopen('http://ziyuan.eol.cn/college.php?listid=128').read().decode('utf-8')
links = re.findall('href="(list.php\?listid=\d+)', html_doc) # 地区链接
colleges = []
for link in links:
html_doc = urllib2.urlopen(u'http://ziyuan.eol.cn/' + link).read().decode('utf-8')
urls = re.findall('www\.\w+\.edu.\w+', html_doc)
for url in urls:
colleges.append(url)
print '已采集学校主页 %d 个...' % len(colleges)
# 导出学校主页
with open('colleges.txt', 'w') as outFile:
for college in colleges:
outFile.write(college + '\n')
lock = threading.Lock()
c_index = 0
def test_DNS_Servers():
global c_index
while True:
lock.acquire()
if c_index >= len(colleges):
lock.release()
break # End of list
domain = colleges[c_index].lstrip('www.')
c_index += 1
lock.release()
cmd_res = os.popen('nslookup -type=ns ' + domain).read() # fetch DNS Server List
dns_servers = re.findall('nameserver = ([\w\.]+)', cmd_res)
for server in dns_servers:
if len(server) < 5: server += domain
cmd_res = os.popen(os.getcwd() + '\\BIND9\\dig @%s axfr %s' % (server, domain)).read()
if cmd_res.find('Transfer failed.') < 0 and \
cmd_res.find('connection timed out') < 0 and \
cmd_res.find('XFR size') > 0 :
lock.acquire()
print '*' * 10 + ' Vulnerable dns server found:', server, '*' * 10
lock.release()
with open('vulnerable_hosts.txt', 'a') as f:
f.write('%s %s\n' % (server.ljust(30), domain))
with open('dns\\' + server + '.txt', 'w') as f:
f.write(cmd_res)
threads = []
for i in range(10):
t = threading.Thread(target=test_DNS_Servers)
t.start()
threads.append(t)
for t in threads:
t.join()
print 'All Done!'
请读者注意几个细节:
1) 笔者将windows下的命令行工具dig放在了子目录BIND9下,BIND可前往http://www.isc.org/下载。如果你使用Linux,可把完整路径删除。
2) Os.popen打开一个子程序,并返回它的执行结果。
3) Dig命令执行结果中出现特征字符串“XFR size”,则表明该DNS服务器存在漏洞。
本篇将介绍使用nmap扫描器和dig来得到DNS Zone Transfer记录。
使用nmap扫描器附带的脚本,可以扫描DNS服务器是否存在域传送漏洞。语法为:
nmap --script dns-zone-transfer --script-args dns-zone-trans fer.domain=nwpu.edu.cn -p 53 -Pn dns.nwpu.edu.cn
对上述命令命令说明如下:
在虚拟机中执行结果如下图所示:
图中dns-zone-transfer后面的部分列出了域中所有的记录。nmap是跨平台的扫描工具,在Linux下照常工作。若使用Ubuntu Linux,可使用apt-get install nmap安装。
在Linux下除了使用nmap扫描器,还可以用dig来测试DNS服务器是否存在域传送泄露。Dig是一个非常强大的DNS查询工具,输入“dig -h”查看它的使用说明。鉴于参数较多,以下是经过笔者精简的说明,只留下最常用的几个参数: 继续阅读DNS域传送漏洞(二)