Requêtage DNS

To the non-french speaker, note that you can translate the articles using the Google Trad widget situated at the bottom of all pages.


Deuxième article sur la phase de reconnaissance : le requêtage DNS. Comme je vous l’avais déjà dit dans cet article. Un serveur DNS va stocker plusieurs types d’enregistrements. Parmi les plus connus on peut lister ceux-ci :

Type d’enregistrement Description
A Enregistrement IPv4
AAAA Enregistrement IPv6
CNAME Pointe plusieurs domaines sur une même adresse IP
NS Domain Name Server
MX Server de mail

En requêtant des serveurs DNS, on va pouvoir récolter des adresses IP qui nous seront utiles pour la phase de pentest. Il existe plusieurs utilitaires pour faire du requêtage DNS. Pour ma part j’utilise dig que vous pourrez installer sous Debian en entrant cette commande :

apt install dnsutils

Ensuite vous pourrez requêter des serveurs DNS en entrant ce genre de commandes :

dig whiteflag.blog

1.png

La réponse peut paraître étrange mais globalement ce qu’il faut retenir c’est que les réponses dig sont composées de plusieurs sections. Parmi ces sections on retrouve notamment la section « QUESTION SECTION » (notre requête) et la section « ANSWER SECTION » (la réponse du serveur DNS).

Ici on peut voir que j’ai demandé où était hébergé le domaine whiteflag.blog et le serveur DNS m’a répondu qu’il était hébergé sur deux IP’s : 192.0.78.24 et 192.0.78.25.

Ça, c’est un requêtage basique. Mais on peut aller beaucoup plus loin ! Par exemple avec l’option -t, on va pouvoir spécifier quel type d’enregistrement nous intéresse :

dig -t NS whiteflag.blog

2.png

Ici j’ai demandé au serveur DNS de me renvoyer tous les serveurs DNS en charge du domaine whiteflag.blog. Et comme vous pouvez le voir, ceux sont les mêmes que ceux qui nous ont été renvoyé par l’utilitaire whois : ns1.wordpress.com, ns2.wordpress.com et ns3.wordpress.com

En phase de reconnaissance toutes les informations sont utiles donc au lieu de spécifier un type d’enregistrement en particulier, on va tous les demander :

dig -t ANY whiteflag.blog

3.png

Ici on a donc des enregistrements A, NS et SOA (SOA pour Start Of Authority nous retourne les informations relatives au DNS primaire du domaines).

Mais ce n’est pas tout, en effet une fois qu’on connaît les IP des DNS qui gèrent le domaine, on va pouvoir tenter quelques attaques dont la fameuse « DNS zone transfert attack » dont je vous avait parlé ici.

Un transfert de zone, c’est une fonctionnalité qui permet de transférer le contenu d’un serveur DNS vers un autre. Le problème c’est que si le serveur DNS est mal configuré eh bien un attaquant pourra lancer un transfert de zone depuis Internet et récupérer les enregistrements DNS internes d’une entreprise.

Pour cela on utilisera cette commande :

dig axfr @ip_du_dns_en_charge_du_domaine domain

4.png

Ici on peut voir que le transfert n’a pas fonctionné. Mais voici ce que l’on aurait pu récupérer autrement :

5.png

On aperçoit clairement les IP’s internes du domaine que j’ai ciblé (192.168.27.101). Suivant les informations récoltées on pourra plus ou moins bien cartographier un réseau interne ce qui nous sera utile en phase de post exploitation par exemple.


Bon c’est bien d’avoir des IP’s mais là, la surface d’attaque est plutôt faible (une dizaine de serveurs tout au plus)… Nous ce qu’on voudrait c’est une énooooooooooooooorme liste de domaines et d’IP’s. Pour cela on va faire ce que l’on appelle de l’énumération DNS !

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s