废物利用-利用iot设备进行DNS投毒强制水坑
2022-4-11 18:8:14 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

引言

我们见过太多dns攻击、劫持基本都是一些恶意的软件导致篡改。

本地DNS攻击需要比较苛刻的条件,而远程DNS攻击除了知道用户使用的DNS服务器地址外还需要控制DNS服务器本身,所以我们需要找到一个巧妙的方式去完成攻击。

本文介绍了让废弃的iot漏洞变废为宝的方法,从DNS投毒到水坑攻击。

了解DNS访问网站的流程

1.解析URL

2.DNS查询

查询本地浏览器DNS缓存

查询命令:chrome://net-internals/#dns

   firefox: about:config

查询本地hosts文件

  linux:/etc/hosts

windows:  C:\Windows\System32\drivers\etc\hosts

查询本地DNS服务器

查询上级DNS服务器

具体DNS解析的原理我们就不多提了,我们直接往下。

搭建一个中继DNS服务器

我们可以选择bind9或者Dnsmasq搭建一个DNS中继服务器,这边笔者使用bind9+ubuntu20的环境。

1、切换到root用户,安装bind9

apt-get install bind9

2、配置/etc/bind/named.conf.local 文件(服务器域解析文件)

这边git.cn 是我们关注的域名,要将它添加解析到我们自己的服务器。

这边举个例子,在实战中

步骤3中的db.git.cn是域解析文件,默认在/var/cache/bind,它们的格式与bind9自带的模板db.local格式一致,我们把/etc/bind/db.local文件copy到/var/cache/bind下,并命名为  db.git.cn

.配置/etc/bind/named.conf.options 文件访问外网

默认dnssec-validation是auto,这边改成no可以避免部分dns请求为不信任链导致解析延迟或者解析失败(error显示为不信任),可以在var/log/messege 查看日志报错日志定位错误。

早期版本的bind9解决方法:

vi /etc/named.conf

dnssec-enable no;

dnssec-valication no;

更新完配置:service bind9 restart

git.cn 如期的解析到我的ip

但是如果使用国内一些云主机的话,有些云主机的风控会检测到你通过通过自己bind的dns访问,从而重定向你的浏览提醒你备案,不宜使用时间过久或者选择没有此类风控的idc,此处笔者就不推荐使用什么主机了。

变废为宝-使用鸡肋漏洞进行DNS投毒

那么如何劫持目标的dns服务器或者篡改其dns地址呢?

如果我们已经控制了用户的pc,那么再篡改dns也意义不大了,完全可以维持权限进行长期的apt和内网渗透了。

所以当我们做信息收集,发现目标资产存在路由器、上网设备、光猫等上网设备。在没办法rce的情况下,例如存在CSRF、未授权访问,弱口令、任意文件读取等漏洞时候,此处直接是可以降低攻击层面,避免正面怼一些应用系统。

笔者这边使用D_Link_DSL系列路由器 进行测试,使用了未授权篡改dns的漏洞,也有一些朋友使用了TP-link成功了。

这边列举一些存在相同的问题的路由器型号:D-link、tenda、华硕RT-N16、netgear、RT-N56U、TP-LINK TL-WR841N、Arcor EasyBox A 600、FiberHome等。

如果是未授权访问和通过弱口令进入后台,我们可以将其DNS地址改到我们搭建好的中继DNS服务器

payload:http://192.168.1.1/dnscfg.cgi?dnsPrimary=8.8.8.8&dnsSecondary=$3&dnsDynamic=0&dnsRefresh=1

如果是CSRF漏洞,要在做指纹识别的时候识别详细的版本号。

在电⼦邮件中插⼊特定的URL,指向路由器默认的IP地址(通常为192.168.1.1),如修改DNS服务器的配置,完整的payload如下:

http://admin:[email protected]/start_apply.htm?dnsserver=123.123.123.123

劫持后的水坑攻击

也可以直接在页面嵌入引诱的链接让用户下载C2

具体详细看之前的无感水坑一文:

基于反向代理的水坑攻击

所以发起DNS重定向攻击域名选择优先级:

a、目标私有域名,常用的办公域名,已经收集到的,如:oa、crm等

b、日常的浏览器更新、办公软件更新、补丁更新域名

b、常用到的域名,如:github、baidu、taobao、bilibili等

d、其他域名

后话

笔者使用的路由器型号在fofa上已经近万条记录

存在漏洞的iot设备在互联网上数不胜数,cnvd收录了近万条iot设备漏洞

exploit-db上的路由器漏洞也是非常多

当然还有一些带网络功能的安全产品一样的能进行dns投毒,iot安全往往被企业忽视,但在攻防中往往有一些黑魔法借助iot设备且极大降低攻击成本。

本文抛砖引玉。期待更多朋友一起研究IOT安全在攻防的魔法,以及怎么使用STAC(moresec)在此类设备的设计阶段缓解漏洞。

引用和RAY在星球的讨论:

IOT是一个莽荒生态,互联网的应用型公司的崛起,让硬件开发工程师越发的稀少。Web CGI类的常规Web漏洞更是惨不忍睹,网路协议类的标准很多也没有考虑安全设计, 硬件架构安全方面更加没有人才,储备几乎为零。

然后,另外一个方面,大多数单位只关注业务安全,忽略IOT设备的安全,实际上IOT安全漏洞价值很高,很多高超先进的后门和攻击技术都在里面,APT的很多隐秘的通道都在里面。

所以,IOT是安全行家的必争之地,目前只有少数人有相关的意识。


文章来源: https://mp.weixin.qq.com/s?__biz=MzkzNjI2MzgzOA==&mid=2247484275&idx=1&sn=041348ae3f770fd26544b0d69cef6aae&chksm=c2a02a82f5d7a394edca904c84f627900d82df2a57fac850d1b396144f69762718114038e352&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh