DNS RECON Y TRANSFERENCIA DE ZONA

 

En este apartado vamos a ver la primera técnica de recopilación activa de información. Vamos a complementar todas las técnicas vistas anteriormente de recopilación semi pasiva, que tienen que ver con el DNS.

Recordemos que cuando nosotros consultábamos eso registros DNS, en los que veíamos un nombre de dominio asociado a una IP, decíamos que estábamos consultando de alguna manera ese fichero de zona que contenía los name servers, pero que ese fichero de información que se nos mostraba no era en realidad el fichero de zona en sí.

En este capítulo lo que vamos a ver concretamente es cómo podemos descargar ese fichero de zona, en el caso de que el servidor DNS esté mal configurado y para ello vamos a utilizar un técnica que se denomina transferencia de zona.

Transferencia de zona

Una transferencia de zona es la capacidad que tienen los name servers o sedrvidores DNS, para copiar el fichero de zona a un servidor DNS secundario, de manera que no tengamos que crearlo desde cero

En muchas ocasiones ese servidor DNS está mal configurado y nos permite realizar una transferencia de zona con un servidor DNS que no esté autorizado

Esto implica que nosotros podríamos iniciar esa acción de transferencia de zona desde nuestro propio equipo, haciéndonos pasar por un servidor DNS y si ese servidor está mal configurado lo que va a ocurrir es que nos a responder enviándonos toda esa información que se encuentra en el fichero de zona.

SI el servidor está bien configurado y cuando vea que no somos un servidor autorizado, cuando intentemos iniciar la transferencia de zona no nos permitirá llevar a cabo la operación.

Iniciando una transferencia de zona

Lo primero que vamos a hacer es conectar nuestra máquina a internet, hasya ahora teníamos nuestra máquina conectada únicamente a una red local que establecimos con nuestra máquina hots.

Para conectarnos iremos a manageàNetwork Adapter y seleccionaremos Nat

Si queremos podemos forzar a que se nos de una nueva IP con el comando sudo dhclient:

Ya nos la ha dado, podemos hacer un ping a Google para comprobar que efectivamente estamos conectado a internet:

Vamos a comenzar viendo la información que nos proporcionaban algunas de las páginas que habíamos voisto en secciones anteriores, como por ejemplo DNS dumpster. Vamos a abrir un navegador y nos vamos a ir DNSdumpster y vamos intentar iniciar una transferencia de zona en un dominio que está pensado para realizar este tipo de pruebas, como acceder a ese fichero de zona, recordemos que esta técnica es ya intrusiva y no podemos lanzarla contra ningún dominio con el que no hayamos establecido un acuerdo para realizar un hacking ético. El dominio que vamos a usar esta prueba es zonetransfer.me

Así que en nuestro Kali, vamos a abrir un navegador y buscaremos dnsdumpster y una vez en la web buscaremos la url  zonetransfer.me:

 

Cuando le demos a buscar una de las cosas que veeremos al acceder a este dominio , será distintos parámetros que ya habíamos visto. Podemos comprobar que tiene dos name servers principales en amarillo:

Podemos ver además registros MX de correo electrónico, vemos como también es capaz de sacarnos diferentes registros txt y registros de host, el grafo pero no nos arroja mucha mas información.

Sinembargo cuando obtengamos el fichero de registro de zona veremos que tenemos mucha más información. Esto mismo que hemos hecho lo podíamos hacer también con centralOps, que nos arrojaba algo mas de información paro más o menos lo mismo.

Lo que vamos a hacer ahora es, mediante la acción de transferencia de zona, intentar obtener  el fichero de zona, que se encuentra en los name-server anteriores, resaltados en amarillo.

Name-servers

Cada uno de ellos tendrá un fichero de zona que contiene mucha más información, como la asociación del nombre de dominio a una dirección Ip y lo vamos a hacer mediante herramientas de consola, para ello tenemos que instalar en nuestro Kali, si necesitamos hacer este tipo de análidid de DNS es, DNS utils, para instalarlo l anzaremos el comando

Sudo apt-get install dnsutils

NOTA: Puede ocurrir cuando teclees símbolos, que Kali no reconozaca bien tu teclado y debas cambiar la configuración a español, esto lo conseguimos con el siguiente comando:

Lanzamos el comando e instalamos el los paquetes:

Este es un paquete de herramientas que podemos utilizar para analizar información relativa al DNS, nos proporciona herramientas como, host, dig, nslookup, entre otras.

Nslookup es la herramienta que vamos a ver ahora. Esta utilidad funciona tanto en Linux como en Windows, podemos lanzar nslookup en un símbolo del sistema CMD de Windows.

Obteniendo los Name Servers con nslookup

•        Escribiremos nslookup
•        Estableceremos el tipo de registro que queremos obtener con set type = ns (de name server)
•       Y le pasamos el dominio a analizar

Nos arrojará un montón de información si buscamos encontraremos, que para ese dominio tienes estos name servers concretamente

Ahora obtener ese fichero de zona resulta muy sencillo, con nslookup puedo iniciar esa transferencia de zona para ver si me devuelve o no el archivo, lo que haremos es un set type= any, es decir devuélveme cualquier tipo de archivo, y le daremos un ls -d con el dominio:

Sin embargo, nos devuelve que el comando ls no está implementado, esto aparece porque entre otras cosas se ha desactivado este comando de transferencia de zona por motivos de seguridad, ya que ¿Por qué querría alguien iniciar este proceso de transferencia de zona desde un host Kali Linux, si no es para tratar de obtener ese fichero?

Sin embargo, si nos vamos a nuestro sistema operativo Windows y abrimos una terminal e introducimos el comando nslookup

Y una vez introducido vamos a iniciar la transferencia de zona igual que hemos hecho en Kali:

Vemos que aquí todo funciona perfectamente y nos arroja los name servers , si iniciamos la transferencia con ls -d:

Nos dice que no puede hacer la transferencia de zona, porque estamos lanzando la transferencia hacia el dominio, debemos iniciar la transferencia hacia algunode los name server que hemos obtenido:

Y ahora ya si podemos iniciar la transferencia listando con ls -d y el dominio, y como puedes ver ne la imagen siguiente, hemos obtenido el propio fichero .

Lo interesante es que aquí, obtenemos información que no obteníamos con centralOps o dnsDumpster,  mucha más, tenemos muchos registro txt, datos de personas , correos, etc

Lo interesante de esto, es que cuando este fichero está compartidfo entre la red interna y redes externas, podemos también tener algún tipo de configuración de servidores y direcciones internas, por ejemplo, si buscamos veremos:

Estamos viendo referencias  a name servers internos, y toda esta información puede suponer ya un buen  vector de ataque a la organización. Es decir el servidor al no estar bien configurado nos ha enviado el archivo con de transferencias de zona con información sensible.

¿Cómo hacer esto con Kali?

En este momento nos proguntamos como es que hemos podido hacer esto con un simple CMD de Windows y no con Kali, bueno la respuesta es que Kali tiene herramientas específicas para hacer esto como por ejemplo dnsrecon que viene instalada por defecto en Kali Linux, y hace todo este proceso automático sin necesidad de que nostros tengamos que buscar el name server, hacer la petición específica de transferencias en ese server etc.

Sería tan secillo como hacer

dnsrecon -d [dominio] -t axfr

Sniffers II (TCPdump)

 TCPdump es otra herramienta fundamental dentro de los sniffers y debemos conocerla, esta herramienta se diferencia de White Shark en que no tiene una interfaz gráfica sino que funciona a través de línea de comandos.

Hemos considerado los sniffers como herramientas semi pasivas de recopilación de información ya que en muchos entornos, como infraestructuras críticas, o sitios donde hay sistemas operativos antiguos, donde los sistemas se han creado ad-hoc, hay veces donde podremos usar técnicas de reconocimiento activas de detección de vulnerabilidades  porque los sistemas  conectados a la red al ser antiguos y sensibles que pueden no soportar ese tráfico adicional que generan estas herramientas de recopilación activas, hasta poder provocar incluso fallos de sistema y afectar seriamente a la infraestructura de red.

En estos casos, una de las opciones puede ser coger un sniffer , colocarlo dentro de esa infraestructura, simplemente monitorizando su tráfico de red y en función de determinados protocolos de red y de algunos valores que tienen los campos de las capas de los paquetes de red, llegar a identificar que aplicaciones se encuentran instaladas en los diferentes nodos de esa red así como los programas utilizan y que versiones de esos programas , por tanto podríamos únicamente mediante el análisis del tráfico de red de forma no intrusiva obtener mucha información y vulnerabilidades para realizar después explotaciones mucho más específicas de modo que no afectaremos a la infraestructura de red.

TCPdump, puede ser muy útil en ocasiones en que no disponemos de una interfaz gráfica en el sistema que queremos hackear. Viene por defecto instalada en Kali , por lo tanto vayamos a nuestro kali y abramos una terinal.

Podemos introducir el comando tcpdump –h  para ver algunas características del software

Estas son solo algunas opciones principales, ya que esta herramienta es muy completa, vamos a ver algunas de ellas

Uso de sudo

En esta herramienta siempre tendremos que anteponer sudo para realizar las acciones como administrador ya que vamos a capturar le tráfico de red y para ello la herramienta necesita privilegios elevados.

·        Sudo tcpdump –D

Se nos pedirá la contraseña y esto lo que nos muestra son las interfaces que tiene este sistema y cuales están activas, es decir lo mismo que nos mostraba White shark de manera gráfica en la primera pantalla.

Podemos ver que tenemos eth0 y la interfaz del loopback corriendo:

Vamos a capturar algo de tráfico en la interfaz eth0, con el siguiente comando:

·        sudo tcpdump –i eth0

Lo que nos muestra son las peticiones que estamos haciendo. Pero no nos muestra los paquetes completos simplemente me dice que se está efectuando una conexión. Algo que podemos hacer es pedirle que nos muestre más información dándole el flag –v (vervove)

·        sudo tcpdump –v  –i eth0

De este modo captura el tráfico y nos muestra mucha más información, sobre las conexiones 

Filtrar paquetes relativos a un protocolo

Por ejemplo para filtrar por el protocolo icmp haríamos:

·        sudo tcpdump  icmp

podemos ver que nonos muestra nada de tráfico:

Pero en el momento que abro una terminal nueva y hago un ping a google esto generará trafico imcp y podemos ver como tcpdump nos captura ese tráfico y solo ese tráfico:

NOTA: Protocolo imcp

Para intercambiar datos de estado o mensajes de error, los nodos recurren al Internet Control Message Protocol (ICMP) en las redes TCP/IP. Concretamente, los servidores de aplicaciones y las puertas de acceso como los routers, utilizan esta implementación del protocolo IP para devolver mensajes sobre problemas con datagramas al remitente del paquete. Aspectos como la creación, la funcionalidad y la organización dentro de la amplia gama de protocolos de Internet se especificaron en 1981 en la RFC 792. En el caso de la sexta versión del Internet Protocol (IP), la implementación específicaICMPv6 fue definida en la RFC 4443.

Por definición, ICMP es un protocolo autónomo aun cuando los diferentes mensajes están incluidos en paquetes IP tradicionales. Para tal fin, el protocolo de Internet trata a la implementación opcional como un protocolo de capas superiores. Los diversos servicios de red que se suelen utilizar hoy en día, como traceroute o ping, se basan en el protocolo ICMP.

Filtar por host

Podemos filtrar únicamente el tráfico que va a un sitio en concreto, por ejemplo a la web de arcelormittal haríamos un ping a esa dirección y veremos cómo nos resuelve también la dirección ip. Obviamente si copiamos y pegamos esa dirección IP en un navegador nos llevará a la web

Ahora podemos hacer un tcpdump directo a ese host pasándole la ip con el siguiente comando

·        tcpdump host 34.248.100.60

Esto hará que nos muestre todo el tráfico entrante y saliente dirigido a este host, si yo ahora navego por la web seleccionada vemos el tráfico de esa web, aunque tuviéramos  otras webs abiertas ese tráfico no se mostraría, solo el del host seleccionado.

En general es más intuitivo trabajar con White Shark ya que nos provee de una ionterfaz gráfica. Si por algún motivo solo podemos trabajar con tcpdump una opción sería guardar toda la información que éste nos ofrece para después abrirla con White Shark:

Usaríamos el comado w [destino /nombre_archivo]

Sudo tcpdump –i eth0 –w Desktop/capture.pcap

Esto nos guradaría un archive con los paquetes capturados. Luego solo tendríamos que abrir White Shark y arrastrar este archivo a la interfaz para abrirlo con todas las características de White shark a nuestra disposición.

Sniffers I (White Shark)

 

Los sniffers son unas herramientas primordiales para cualquier pentester. No solo para el hacking ético, estas herramientas se usan también administración de redes entre otros.

Contexto

Cuando tenemos una máquina y queremos comunicarnos con otra máquina diferente, debemos establecer una conexión entre ambas máquinas. Esta conexión es lo que denominamos una red y cuando varias máquinas se encentran en una red, a estas máquinas las denominamos nodos.

Cuando enviamos paquetes de un nodo a otro dentro de una red, el nodo que recibe la información debe ser capaz de interpretarlos para poder entender la información que nos está enviando el otro nodo, para interpretar esta información se utiliza son los protocolos de red, de manera simplificada un protocolo de red es un conjunto de reglas, que se aplican sobre la información recibida en una red de forma que pueda ser interpretada. Dependiendo del protocolo usado interpretaremos la información de una manera o de otra.j

Teniendo esto en cuenta los Sniffers son herramientas que se van a situar en nuestro Sistema Operativo para monitorizar todo el tráfico de red, tanto entrante como saliente que estamos intercambiando con otros nodos de la red.

Por supuesto también nos podemos comunicar con otros nodos que se encuentren en otras redes, sabemos que para unir una red con otra red utilizamos Routers, nosotros tenenmops nuestra red en casa por ejemplo y lo que hace el router es conectarnos a otras redes para al final crear lo que se conoce como internet.

Cuando nos comunicamos con oros equipos fuera de nuestra nuestra red, lo hacemos a través de diferentes routers que se encuentran comunicados hasta llegar al host con el que queremos conectar. Todo este tráfico de red que intercambiamos e interpretamos mediante protocolos es lo que llamamos paquetes de red y los Sniffers nos permiten visualizar todos estos paquetes de red de una manera sencilla de interpretar.

White Shark

Este es uno de los Sniffers más importantes y viene incluido en nuestro Kali Linux, para abrirlo bastará con ir a nuestro menú y buscar en sniffing & Spoofing White shark:

Una vez abierto nos muestra las diferentes interfaces que tenemos abiertas en nuestro equipo (en rojo)

La interfaz eth0  es la que nos conecta con internet

La interfaz Loopback sería la interfaz interna nuestro localhost, si enviamos un paquete de red a la interfaz de loopback  lo recibimos nosotros por esa misma interfaz.

La intefaz any, que sería cualquier interfaz.

Capturando tráfico de red

Vamos a capturar el tráfico que nos llega opr la interfaz eth0, para ello basta pulsar dos veces sobre ella:

Si nos fijamos al principio de la interfaz tenemos un cuadro de texto, en el que podemos incluir filtros a la hora de capturar tráfico para que nos intercepte tráfico por determinado protocolo  que nos interese.

Como vemos ya estamos capturando tráfico ya que tengo abierto un navegador, reproduciendo música en youtube, y lo que vemos en el primer tercio de la pantalla, cada una delas líneas es un paquete de red.

Ahora imaginemos que lo que yo quiero es capturar sólo paquetes que tén relacionados con el protocolo DNS, para ello en el cuadro de texto aplicaría el filtro DNS y le daría a enter:

Al hacer esto mi White sharck sólo estaría capturando paquetes DNS, y si selecciono alguno de los paquetes capturados , en la ventana del medio me dará información sobre ese paquete:

Y en la pantalla de abajo del todo veríamos los bytes capturados en hexadecimal:

Si quisiéramos ver el binario, lo podríamos hacer con el botón derecho en el paquete seleccionado, en copy as a raw binary. Entonces el SO ha recibido estos paquetes de otro nodo lo ha interpretado en función del protocolo y White shark nos lo muestra también por protocolos. En la pantalla del medio nos está dando la información de la primera capa Ethernet y nos está diciendo que los 6 primeros bites del paquete de red, se corresponden con la dirección física de destino, del bite 7 al 12 se corresponden con la dirección física de origen, etc

La siguiente capa es la IP en la que nos da información similar y así hasta bajar a la capa DNS.

Cuando hacemos filtrado, luego podemos buscar resultados, por ejemplo si abro la web, detalles únicos y capturo el tráfico filtrando por DNS, en algún momento se habrá tenido que realizar la resolución DNS a ip y puedo buscar ese paquete haciendo una búsqueda por string,

Por ejemplo, abro la web detallesunicos.es y capturo el tráfico DNS

 

Así es como funciona básicamenter White Shark, que vamos a estar utilizando mucho durante el curso.

 Ahora voy a buscar el momento en el que se ha recibido el paquete con la resolución dns, para ello hago clic en la lupa de la barra de herramientas y le digo que voy a buscar por string  y en la casilla de búsqueda pongo el nombre de la página, en este caso detallesunicos.es:

El me encuentra el paquete con ese string, si le doy clic al paquete podemos ver la transacción del DNS la query , la flag y demás información:

Por supuesto si tenemos la query que acabamos de ver, deberá estar la respuesta del servidor a esa query y White shark no lo indica ocn unas flechas:

Si abrimos la respuesta veremos cómo se ha efectado la resolución a ip para elnombre detallesunicos.es, siendo la ip que se corresponde a ese nombre de dominio. 217.76.142.242

Si ahora vamos a un navegador y en vez de escribir el nombre detallesunicos.es, escribimos esta dirección ip veremos que efectivamente estamos accediendo a la web mediante su ip si realizar la resolución DNS

Más cosas que podemos hacer con White Shark

Vamos ahora a filtrar por protocolo HTTP, cambiemos el filtro a HTTP y abramos alguna web que no utilie HTTPS, es decir que los paquetes no vayan cifrados sino que vayan en plano.

 Si vamos a estos paquetes de red debe estar incluida la web que nuestro navegador ha renderizado, ya que nosotros hemos hecho una petición y ese servidor nos ha contestado implementando el protocolo http y nuestro navegador lo ha renderizado.

Aquí hay varias cosas a tener en cuenta, sabemos que http va or encima de la capa tcp y muchas veces cuando estamos intercambiando información con un tamaño muy grande, como el tamaño de los paquetes tiene un tamaño limitado, por lo que si la información a enviar es muy grande no podemos mandar toda esa información en un mismosegmento, por tanto la información se fragmenta y se va enviando en paquetes de red diferentes.

White Shark nos hace un ensamblado de esos paquetes que se están transmitiendo de forma fragmentada, para que podamos observarlo todo junto.

Otra de las cosas interesantes es que si vamos por ejemplo al petición get y hacemos cilc derecho y le damos a followàhttp stream

Nos muestra todo el intercambio http que nosotros hemos realizado con ese servidor web para descargarnos la página y renderizarla:

En rojo veremos nuestra petición y si pulsamos nos lleva al paquete donde está hecha la petición. Abajo en azul tebnemos la respuesta y del mismo modo si pulsamos sobre ella nos lleva al paquete correspondiente, en la respuesta podemos ver toda la página web entera, lógicamente esto no cabe en un solo paquete de red y por eso nos está diciendo que se ha reensamblado 7 segmentos de red:

Lo que comentábamos antes White shark ha unido eso 7 paquetes para poder ver latodo el tráfico y la web montada.

Otra utilidad interesantes la primera capa Frame, en la que si pulsamos se nos seleccionan todos los datos hexadecimales:

Esta capa Frame son una serie de metadatos que White Shark extrae de los paquetes de red que resultan muy interesantes ya que pueden aportar información extra.

Recopilación semi pasiva de información

 Instalación máquina virtual Windows 11

Hemos descargado una máquina virtualizada Windows 11 para nuestro laboratorio, la podemos descargar de:

https://developer.microsoft.com/es-es/windows/downloads/virtual-machines/

Una vez descargada la descomprimimos y la importamos ennuestro entorno de virtualización VM-Ware:

Por defecto la  máquina viene configurada con 4 GB de ram, si bién mi pc tiene capacidad para asignar esta cantidad de ram a  un máquina virtual, puede que en otras máquinas sea demasiada memoria, esto puede provocar que la máquina host no funcione adecuadamente, por ellopodemos a bajar la cantidad de ram asignada a esta máquina. Para ello iremos al enlace con el  icono de la llave fija y editaremos la configuración de la máquina. 

Si dispones de suficiente memoria lo recomendable es dejar la configuración de Windows 11 por defecto con los 4 GB  de ram.

Una vez instalada podemos iniciarla desde nuestr panel de VM-Ware:

Una vez terminado el proceso ya tenemos disponible nuestra máquina virtual Windows 11

Como se puede ver en la esquina inferior derecha se nos indica que es una versión de evaluación Windows 11 con una licencia válida para 50 días:

Cuando se termine el plazo si seguimos necesitando la máquina podemos volver a descargarla. Otro detalle interesante es que se trata de una versión Enterprise de Windows 11,  por lo que es probable que este mismo SO nos lo encontremos replicado en diferentes organizaciones ya que e sla versión que utilizan las empresas. Por tanto si encontramos una vulnerabilidad en este sistema es muy probable que esa vulnerabilidad la encontremos en empresas que usen este mismo SO.

Introducción al protocolo DNS

La siguiente técnica de recogida de información semipasiva tiene que ver uno de los protocolos más importantes de internet, el protocolo DNS por sus siglas en inglés Domain Name System. En esta sección vamos a ver sus características principales y su funcionamiento de forma genérica. Es muy importante comprender este protocolo, para poder comprender las técnicas de recopilación semi-pasiva y para técnicas de explotación que veremos posteriormente.

¿QUÉ ÉS DNS?         

·        DNS es el acrónimo de Domain Name System

·        Realiza una traducción de nombres de dominio a direcciones IP

·        Se corresponde con uno de los protocolos más importantes de internet

Es decir, cuando nosotros buscamos un dominio en internet, por ejemplo www.google.com debe existir algún proceso que transforme ese dominio en una dirección IP, que es lo que una máquina entiende. Algo parecido a 142. 250.184.3 (IPV 4)

Tenemos que realizar esta traducción porque para los humanos es más sencillo recordar la palabra Google, que una cadena de números como es una IP. Esta traducción o abstracción de nombre de dominio es para lo que se creó el protocolo DNS, traduce Direcciones en IP.

DNS desde el punto de vista del HACKER.

Desde el punto de vista de un Pentester este protocolo y sus sitemas asociados, nos permite obtener información pública sobre un dominio o una organización. Por ejemplo a partir de un nombre de dominio, puedo resolverlo y que me devuelva una dirección IP , a la que puedo geolocalizar, atacar, escanear etc.

¿po POR QUÉ NOS INTERESA EL DNS?
·        Obtener información pública sobre un dominio u organización.
·        Descubir relaciones entre dominios y hosts
·        Técnicas de explotación específicas para ganar acceso (DNS Spoofing)

¿CÓMO FUNCIONA DNS?

https://docs.microsoft.com/es-es/azure/dns/dns-zones-records

DNS ZONE: Agrupación de registros (datos) DNS

Esto no es más que una agrupación de datos que están relacionados con un mismo dominio y el mantenimiento de estos datos está delegado a una organización en concreto o incluso a un individuo. Al final es un fichero que tiene diferentes entradas que son las que se nos devueven cuando nosotros hacemos una consulta. Pensemos en esto como en un fichero de texto en un servidor que se llama Name Server y que cuando le preguntamos nos devuelve información en función de lo que le preguntemos, Las DNS Zones contienen diferentes tipos de registros, como las siguientes entre otras:

Cómo funciona una resolución real que podemos hacer

Esta información nos servirá para ya en fase de explotación realizar un Spoofing:

CentralOps y DNSdumpster

Una vez presentado el protocolo DNS y su funcionamiento estamos listos para presentar la siguiente técnica de recopilación de información semi-pasiva. Para la ejecución de esta técnica no vamos a necesitar aún ninguna máquina virtual ya que la herramientas que vamos a usar son aplicaciones web, por lo que con el navegador de la máquina host es suficiente.

Lo que vamos a hacer esconsultar toda la información de esos registros Name Serves que se encuentra pública para un determinado nombre de dominio o dirección IP.

CentralOps

https://centralops.net/co/

Como podemos ver la web tiene un diseño muy noventero (a mí me encantan) de entre las herramientas que nos ofrece este sitio, nos interesa de momento la de Domain dossier.

Esta herramienta  es muy sencilla, lo únco que necesitamos hacer es indicarle un nombre de domino y de entre la información que podemos seleccionar que nos ofrezca tenenmos además de DNS recods (que és la que nos interesa) ahora mismo, otras informaciones que podemos extraer con otras herramientas con nuestro Kali Linux y que veremos más en profundidia, de momento seleccionamso DNS records e introducimos el nombre de dominio del que queremos obtener la información de los registros DNS y pulsamos go:

Podemos ver que nos ofrece mucha información, como el nombre canónico, la dirección ip, y luego se despliega una lista de registros DNS, de diferentes tipo.  Por ejemplo tenomos uno de tipo A que ya sabemos que es donde refleja la traducción del nombre de dominio a dirección ip, podemos ver también algunos del tipo NS que son los Name Servers en los que se encontrarán los ficheros que pueden resolver el nombre de dominio a ip.

Podemos ver que disponemos de dos ficheros Name Servers, esto se hace para tener disponibilidad, si uno de los ficheros por cualquier razón no estuviera disponibe, se accedería al otro para poder hacerla resolución del nombre a dirección IP.

Otras informaciones que podemos ver son; el correo del administrador, un número serial (que cambia cada vez que modificamos el fichero de zona NS). Un PTR que sirve para hacer una resolución inversa de ip a nombre de dominio, etc. Toda esta información ya va siendo de utilidad y podría formar parte de un vector de ataque ya podríamos por ejemplo empezar a hacer un escaneo de servicios y de puertos que veremos en los siguientes temas. Al final los Name Servers pertenecen a máquinas que están físicamente en algún sitio, y si pertenecen a la misma empresa a la que estamos realizando el hacking ético ya tendríamos más vectores de ataque.

Esta no es la única alternativa para buscar información DNS en internet vamos a ver una de las principales que se denomina DNSdumster:

DNS dumpster

https://dnsumpster.com/

Esta aplicación web nos permite pasarle un nombre de dominio y ya no solamente nos encuentra toda la nformación que veíamos en el fichero de zona sino que nos geolocaliza ip´s y más: En este caso voy a poner el dominio de mi propia web que compré en Arsys, veamos qué información nos ofrece:

Podemos ver que nos muestra os archivos DNS y nos indica que pertenece a la red Ionos, Fasthosts, Arsys, 1&1 y que está en España. También nos arroja rn archivo MX para el correo. Y un registro TXT, también un registro de hosts con la dirección ip donde se encuatra alojada mi web, además podemos ver que nos está indicando que tiene abiertos algunos puertos:

HTTP: Apache
HTTPS: Apache
FTP: 220 Welcome to FTP service.
SSH: SSH-2.0-OpenSSH_8.0

Esto es muy interesante porque aquí podemos indicarle que nos encuentre más hosts (o nombres de dominio) que comparten esta dirección ip, pulsando en el primero de los iconos

Si pulso en el me aparece una lista extensa:

Todos estos son host que comparten la misma dirección IP donde se encuentra alojada mi página web. Esto en el caso de mi web no tiene mucho sentidd pero en el caso de una organización es muy posible que estén compartiendo diferentes servicios web y sólo pulsando este botón podemos encontrar otras páginas web de la organización que se encuentran alojadas en esta IP

Otras cosas se pueden hacer desde estos iconos son:

 

• Obtener las cabeceras
• Trazar ruta: qué DNS se han recorrido hasta llegar a este
• Buscar Banner: podemos buscar los banners de forma pasiva ya que lo hace en una base de datos
• Escanear servicios: Pero con esto hay que tener cuidado ya que esto es una búsqueda activa que veremos más adelante.

Nos ofrece un grafo:

Podemos ver como el nombre 3dev.es se traduce en la ip 217.76.130.166

NS: que name servers tiene y nos dice que tiene 2 con sus direcciones IP, si  fuera una organización ya tendríamos dos hosts más a los que atacar.

MX: los correos de que dispone, vemos que dispone de uno.

Toda esta información la podemos exportar como png o como Excel para luego adjuntarlo a nuestro informe de auditoría.

Si hacemos una búsqueda de un dominio de una gran empresa la cantidad de información que se puede obtener es ingente

Lo interesante es que nos arrojará todos los host por lo que a un solo clic hemos sido capaces de enumerar todos los dominios y subdominios de la organización que son potencialmente atacables, podemos ver en amarillo todos los servicios abiertos de diferentes máquinas.

También y esto es muy interesante nos ofrece un mapeo de dominio: