ADIDNS 安全研究:绕过 GQBL 限制解析 WPAD 域名

2018年6月,作者宣布了若何使用adidns的文章,文章主要涵盖进击和防御的相关技巧。本文阐发另一个与域名解析有关的默认设置问题。

WPAD

Web Proxy Auto-Discovery (WPAD,web代理自动发明)是LLMNR(链路本地多播名称解析)和NBNS(收集基础输入/输出系统 (NetBIOS) 名称办事器)诈骗的常见目标。WPAD是经由过程ADIDNS增添的最显着的记录。认证的用户可以增添这一记录,由于它默认是不存在的。假如用户为WPAD增添了记录,就可以发明它什么都不会做。这是由于全局查询区块列表(global query block list,GQBL)中默认含有WPAD和ISATAP。

主流的Windows DNS办事器不会应答与GQBL中主机列表匹配的域名查询。以是,GQBL常常是不事情的。

绕过GQBL

钻研职员在测试wildcard record(通配符记录)中发明,Windows DNS办事器会轻忽GQBL并经由过程通配符应答WPAD的哀求。钻研职员只经由过程动态更新来增添记录。由于*在动态更新中并不能准确事情,以是钻研职员抉择找一个可以与动态更新一路协作的GQBL绕过措施。

第一个措施便是经由过程DNAME记录。假如有WPAD的DNAME记录,Windows DNS办事器会解析WPAD。

一样平常环境下,DNAME记录并不会解析与真实记录匹配的哀求。DNS办事器只会应答与主机映射的域名的哀求,比如host.wpad.inveigh.net。在这个例子中,wpad.inveigh.net的root(根)就会被解析。

但钻研职员发明Windows DNS办事器在满意特定前提的环境下会应答DNAME记录根的哀求。记录必要与GQBL列表中的主机相匹配,而GQBL必要开启。斟酌到WPAD,默认开启的GQBL会让环境变得更糟。

但DNAME记录照样不能动态更新。以是钻研职员考试测验探求其他的措施,即在WPAD子域名中添加NS记录。

该措施轻细有点繁杂,由于它必要NS记录指向钻研职员节制的DNS办事器。Kali系统中的DNSchef是一种简单的设置DNS办事器来供给应答接管的哀求的措施。

但这种措施也不能动态更新。这三种措施实现历程都有点繁杂。

CVE-2018-8320

钻研职员将三种GQBL绕过的措施告示给了微软,微软为该GQBL破绽分配CVE编号为 CVE-2018-8320。

通配符记录不再解析GQBL列表中主机的哀求。

DNAME记录不再解析GQBL列表中主机的哀求。

NS记录仍旧可以绕过GQBL。

域名后缀搜索顺序

钻研职员保举治理员节制的通配符记录作为防御ADIDNS通配符进击和LLMNR/NBNS诈骗的措施。许多钻研职员指出当多个域名后缀经由过程组策略被分配给搜索列表时,通配符记录会激发一些问题。

在进行了一些测试后,钻研职员确认他们是对的。当匹配的有效记录存在时,更高域名后缀区域的通配符可以防止有效的非完全适当的哀求降到较低的域名后缀中。

这一行径导致了一种全新的进击措施,即进击哀求已有记录的哀求。假如可以在zone中增添记录作为后缀,那么就可以在低优先级的域名后缀中进击有效的主机。对目标主机的非完全适当的哀求会被新添加的记录所解析。

DNS后缀在履行通配符进击时会被斟酌到。假如找到一条有多个DNS后缀的搜索列表,通配符进击可以导致注入掉败。

经由过程钓鱼进行ADIDNS进击

钻研职员觉得ADIDNS进击很轻易经由过程钓鱼进击进行传播。只有一个AD连接的钓鱼目标必要履行payload来增添记录,该记录可以发送流量到远程进击者节制的系统中。这些记录还可以被用作C2或设置其他的钓鱼进击。

上面是用powershell对象增添指向公有IP的记录的例子。对付真实的钓鱼进击,可以应用加倍相宜的payload。

这是另一个NS记任命于进击的例子。一旦设置了NS记录,可以经由过程自己的DNS办事器来增添额外的记录到受控的子域名中。

Domain Borrowing

当企业的内部AD域名与其公有域名匹配时,来自界限外的ADIDNS进击就显得更故意思了。在该进击场景中,用户可以应用公有域名的可托来进行内容过滤。

但这也有必然的限定,便是只能影相应用目标ADIDNS作域名解析的资本。然则在设置HTTPS的可托证书方面会对照麻烦。

C2和数据偷取技巧

文章中提到可以将AD用作C2信道。那么ADIDNS可以吗?当增添了dnsNode工具后,认证的用户从创建开始就会获得完全的节制。dnsNode工具也含有大年夜量可写的属性,这使dnsNode工具成为C2和经由过程AD进行数据偷取的备选规划。

ADIDNS防御

前面提到,假如用户应用含有多个DNS后缀的搜索列表,治理员节制的通配符A记录可能会带来一些问题。作为一个备选措施,用户可以无法解析域名哀求的记录类型来创建通配符,比如TXT记录。

由于所有的记录类型都保存在dnsNode工具中,增添随意率性形式的通配符记录可以防止非授权用户增添名为*的dnsNode。但非解析的通配符记录无法作为应对LLMNR和NBNS诈骗的对象。

锁定zone权限是缓解认证用户ADIDNS进击的最彻底的措施。根据设置,用户可能可以使用DHCP中的特定DNS动态更新账户。这容许用户移除Authenticated Users的Create all child objects权限。

许多域名解析进击都是经由过程非完全有效的域名哀求进行的。这类用户天生的哀求很难打消。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包