DNSBin (ResquestBin.NET): ex-filtración de datos sobre DNS, sin tener que configurar ningún servidor DNS!

En una intrusión cuando encontramos una vulnerabilidad ciega (RCE, XXE, SQLi, etc.) para ex-filtrar información necesitamos de una conexión saliente. Sin embargo (al menos en entornos corporativos) estas conexiones suelen estar filtradas mediante firewalls y/o proxies. En tales casos y en muchas ocasiones se puede usar el protocolo DNS para filtrar datos puesto que las empresas no son tan restrictivas a la hora de limitar las consultas de resolución de nombres. Total... qué puede hacer una simple consulta DNS? };-)

Para conseguir recibir la información de las consultas DNS, el atacante tendrá que configurar un registro NS en un dominio y montar un servidor que esté a la "escucha" de las peticiones al puerto 53/UDP. Esto puede ser tedioso y más cuando se va a realizar sólo una prueba puntual o en una plataforma de training. Sin embargo, existe un portal en Internet llamado RequestBin.NET que no requiere ni registro ni autenticación y que en sólo unos segundos nos permite crear un servicio HTTP (HTTPBin) o DNS (DNSBin) para hacer este tipo de pruebas rápidamente.

En el caso de DNSBin que es el que no atañe en esta entra, se proporciona un subdominio que recopilará las solicitudes realizadas a través del protocolo dns y permite inspeccionarlos de una manera amigable. Sólo tenemos que pulsar el botón "Create a DNSBin" y se generará un subdominio para probar, por ej. *.09b38436c855d48a8912.d.requestbin.net:



Así que si hacemos una simple consulta veremos el resultado inmediatamente:


Evidentemente yo no usaría esta web en una auditoría para un cliente puesto que está en un servidor de terceros y no tenemos control sobre los logs, pero como decía puede ser bastante útil para training y, por qué no, para un atacante malintencionado que quiere ex-filtrar datos sin tener que montar una infraestructura, facilitándole así mucho el anonimato.

Pero hay más... podríamos montar también esta plataforma en nuestro propio servidor ya que la herramienta dnsbin es de código abierto:

https://github.com/HoLyVieR/dnsbin

Además, si os habéis fijado en la primera imagen de esta entrada, tenéis los comandos para enviar y recibir texto y ficheros con el cliente Python dnsbinclient.py. ¿Se puede pedir más?

Comentarios