Практические атаки с перепривязкой DNS

  1. Поиск сетевых устройств
  2. Работа вокруг политики одного и того же происхождения (СОП)
  3. Собираем кусочки
  4. Эффективность атаки и извлеченные уроки
  5. Выводы

Один из инструментов, который я ожидаю увидеть в популярности - это перепривязка DNS. Привязка DNS - это метод, который превращает браузер жертвы в прокси для атаки на частные сети. Злоумышленники могут изменить IP-адрес, связанный с именем домена, после его использования для загрузки JavaScript. Поскольку политика одного и того же происхождения (SOP) основана на домене, JavaScript получит доступ к новому IP.

В этом блоге рассказывается о том, что я узнал во время подготовки лабораторного упражнения по перепривязке DNS для Черная шляпа а также сектор ,

Есть две основные проблемы, которые мы должны преодолеть, чтобы атаковать сетевые устройства:

  1. Злоумышленники заранее не знают диапазоны адресов частных сетей.
  2. Междоменный доступ ограничен политикой того же происхождения.

Поиск сетевых устройств

Самым распространенным методом является угадывание общих сетевых адресов. Это может быть довольно эффективным для определенных устройств, таких как маршрутизаторы. Вот почему Я предлагаю использовать диапазоны IP не по умолчанию на домашних маршрутизаторах , Существует также более сложная техника, которую я ранее называл Смарт CSRF , Этот процесс использует STUN в поддерживаемых браузерах для восстановления локального IP-адреса. (Интересно, что Chrome может быть единственным браузером, поддерживающим это в текущей версии.)

Работа вокруг политики одного и того же происхождения (СОП)

Вооружившись знанием IP-адреса устройства, некоторые атаки становятся довольно тривиальными. Например, Внедрение команды NETGEAR cgi-bin можно использовать с простым тегом IMG для запуска запроса GET. Другие атаки, однако, требуют, чтобы злоумышленник больше взаимодействовал с уязвимой системой, чем просто отправлял данные, и поэтому традиционные методы CSRF терпят неудачу. Политика того же источника запрещает злоумышленникам читать эти данные ответа, поэтому мы должны использовать перепривязку DNS.

У Тависа Орманди есть домен rbndr.us, на котором выполняется его простая перепривязка DNS обслуживание , но я решил создать небольшую реализацию Python и немного изменил свой подход. В то время как реализация Tavis rbndr чередуется между целевыми адресами, у меня были лучшие результаты, когда мой сервер отвечал только один раз с моим публичным IP.

Моя реализация упаковывает очень простой HTTP-сервер и DNS-сервер примерно в 100 строк Python. Пример вывода (с отредактированным моим доменным именем) представлен ниже:

Собираем кусочки

В качестве подтверждения концепции я использовал маршрутизатор VERT NETGEAR Centria, используя обход аутентификации, чтобы использовать внедрение команд в форму, включающую токен CSRF.

Успешная сквозная эксплуатация включает в себя:

  1. Жертва загружает IFRAME из домена, контролируемого злоумышленником.
  2. IFRAME загружает JavaScript для идентификации локального IP-адреса через WebRTC.
  3. Каждый IP-адрес в / 24 жертвы запрашивается на пути, который должен существовать на маршрутизаторе.
  4. JavaScript отправляет этот IP на сервер атаки и получает значение токена.
  5. Значение токена используется для создания имени домена и обновления местоположения IFRAME.
  6. JavaScript, загруженный из этого источника, устанавливает интервальный таймер.
  7. Обратный вызов таймера делает запросы к созданному домену.
  8. По истечении срока действия записи DNS домен разрешается по IP-адресу локальной сети.
  9. Обратный вызов таймера теперь может получить токен CSRF с обходом аутентификации.
  10. Полезная нагрузка атаки отправляется с наблюдаемой отметкой времени.

Вот как выглядит эксплойт в моем браузере:

После этого я могу подключиться к маршрутизатору через порт 1234:

Эффективность атаки и извлеченные уроки

Это не быстрая атака, но она довольно мощная. Конкретная продолжительность атаки зависит от интервала таймера (шаг № 6), а также от комбинации браузера и ОС. В моем тестировании с Chrome на OS X я обнаружил, что повторное связывание может быть быстрым как 1 минута с достаточно коротким интервалом (сотни мс) или целых 5 минут, когда интервал 3000 мс. Это компромисс между скоростью и скрытностью.

Выводы

Привязка DNS вполне применима в реальных атаках.

На данный момент кампании IoT-атак были довольно успешными, нападая только на открытые устройства, но это только вопрос времени, когда будет слишком большая конкуренция за этот низко висящий фрукт. Затем операторы ботнетов будут искать лучшие методы для достижения ценных целей в частных корпоративных и домашних сетях.

Сетевые администраторы и поставщики продуктов должны принять менталитет, согласно которому все, что доступно в локальной сети через HTTP, также доступно удаленным злоумышленникам. Если какой-либо из этих серверов разрешает анонимный / неаутентифицированный доступ, злоумышленник, вероятно, будет искать эти системы и красть, манипулировать или даже уничтожать предоставляемые ими данные или системы, которые они контролируют.

Чтобы узнать больше о методах, которые я использую для поиска и использования уязвимостей IoT, пожалуйста, ознакомьтесь с моими предложениями класса 2018 по адресу Черная шляпа США а также сектор ,

Похожие

Что такое спуфинг DNS?
... исходит, когда записи определенного DNS-сервера «подделываются» или изменяются злонамеренно, чтобы перенаправить трафик злоумышленнику . Такое перенаправление трафика позволяет злоумышленнику распространять вредоносное ПО, похищать данные и т. Д. Например, если DNS-запись подделана, злоумышленнику удастся перенаправить весь трафик, который полагается на правильную DNS-запись, для посещения поддельного веб-сайта, который злоумышленник создан, чтобы полностью напоминать реальный
Первая работа в Нидерландах: доступ, проживание, работа агентств [cz. 2]
... же примеры взяты из польских временных работников. Если вы знакомы с поведением, описанным в статье, лучше сменить агентство на другое. Доступ к месту Начиная с направления движения - если агентство не разрешает вам выбирать транспорт по месту жительства, это признак того, что мы допустили ошибку. Компании могут навязать свой собственный перевозчик заранее. Как правило, это дороже, чем другие, и бывает, что нам нужно добраться до пункта сбора, который может находиться
DNS-атаки: как они пытаются направить вас на фальшивые страницы
Джозеп Альборс из ESET рассказывает о том, как DNS-атаки будут пытаться направить вас на фальшивые страницы. DNS-серверы необходимы для нормального функционирования Интернета, как мы его знаем и любим, но для большинства пользователей они обычно остаются незамеченными . По крайней мере, до тех пор, пока не произойдет какая-либо атака или инцидент, который не позволит им нормально работать, что приводит к тому, что службы, которые мы используем каждый день, начинают отказывать
Как по скайпу не быть увиденным!
Конфиденциальность © Альтерфальтер - Fotolia.com Skype - это решение для передачи голоса по Интернет-протоколу (VoIP), которым пользуются сотни миллионов людей во всем мире. Исследователи Inria (Стивенс Ле Блонд, Арно Лего и Валид Даббоус) в партнерстве с командой Политехнического института Нью-Йоркского университета продемонстрировали, что злоумышленник
Как увеличить продажи на 300%? [ОБУЧЕНИЕ]
Цель деятельности: Клиент специализируется на продаже предметов интерьера и отделки. Мы начали сотрудничество с ним в июне 2014 года в рамках нашего предложения по формуле КОП. На тот момент домен существовал 1,5 года. Целью деятельности EACTIVE было увеличение трафика и увеличение продаж в интернет-магазине клиента. SEO деятельность Сначала были проведены предварительные анализы для планирования дальнейшего сотрудничества с клиентом. В качестве первого
Запросы для данных XML в SQL
... ихся присутствия XML в SQL Server, широк. Написание запросов к документам XML - это навык, который часто используется на практике. Поэтому я решил поместить вводную главу в XML как часть этого курса. Для начала я представлю общую концепцию стандарта XML и его типичные приложения на практике. Я покажу готовые рецепты, примеры - как писать SQL-запросы в XML-документы. В этой статье я расскажу об основных приложениях функции OPENXML () и
... жет понять наши намерения, и поиск нужной информации может занять много времени. Для более эффе...
... жет понять наши намерения, и поиск нужной информации может занять много времени. Для более эффективного доступа к веб-сайтам, отвечающим нашим информационным потребностям, стоит использовать операторы и команды, которые облегчают сужение результатов поиска. Откройте для себя 13 способов поиска в Google! 1. Точное совпадение - фраза в кавычках После ввода фразы, такой как лоскутное одеяло «Мерино» , поисковая система будет отображать подстраницы, содержащие эти слова,
Успешно заGOOGLЕты: секреты поиска
По дружеского согласия Verify - продолжаем делиться полезными советами для проверки информации из Сети, которые помогут убедиться, что информация является достоверной. На этот раз приоткрывает возможности ...
Обзор Logitech Brio 4K - Веб-камера 4K для требовательных
Logitech Brio 4K - Первые наблюдения Коробка снаружи выглядит очень нейтрально. С расстояния на полке мы бы даже не увидели, что внутри такое сильное оборудование. Кроме инструкций, самой веб-камеры и кабеля USB-C к USB-A, в упаковке ничего не будет найдено. Сама вебкамера кажется очень прочной в руках, переднее стекло должно хорошо защищать
P8 lite 2017 года в тесте
Huawei P8 lite 2017 Место 137/549 Оборот: 239,00 € Дата: 05.07.2017 простой, приятный случай хорошее время автономной работы хорошая камера острый, яркий 5,2 "дисплей длительное время зарядки аккумулятора скользкая спина Huawei P8 lite 2017 довольно необычен, но в его ушах много шума! Всего за 200 евро он
Google Spreadsheets и PHP
... ибудь нужно было извлечь некоторые данные из таблицы Google? В прошлом я по умолчанию использовал экспорт данных и их прямую загрузку в приложение, но оказалось, что их не очень сложно читать напрямую из таблиц Google с помощью API-интерфейса Google Drive. В этом руководстве мы будем читать, записывать, обновлять и удалять данные из таблицы Google с помощью всего лишь нескольких строк PHP. В последнее время я провел много времени, работая с группами активистов в сфере технологий,

Комментарии

Кто-нибудь переводит 1 процент от ямы или бросания монет в коробку интересно, какова эффективность данного фонда?
Кто-нибудь переводит 1 процент от ямы или бросания монет в коробку интересно, какова эффективность данного фонда? В Польше не было исследований, которые бы дали четкий ответ на этот вопрос. Известно, что 14 процентов. доноры знают людей из учреждения, которое они поддерживают (и именно поэтому они его поддерживают). Однако это не обязательно означает, что доноры имеют глубокие знания о работе выбранной организации. Между тем, к сожалению, история показывает, что есть благотворительные
SmartWatch, оно того стоит?
SmartWatch, оно того стоит? Глядя на приведенный выше список пяти наиболее полезных функций умных часов, становится еще яснее, насколько велики возможности устройства, тем более, что оно является лишь частью гораздо более длинного списка. Однако, конечно, кто-то может спросить, действительно ли все они будут необходимы. Конечно, выбирая правильную модель, необходимо определить, что нас волнует больше всего. Только тогда вы сможете сделать правильный выбор. Умные
Вы хотите перевезти или перевезти свой автомобиль из одного штата в другой в пределах Индии, но не знаете, с чего начать и как это сделать правильно?
Вы хотите перевезти или перевезти свой автомобиль из одного штата в другой в пределах Индии, но не знаете, с чего начать и как это сделать правильно? Межгосударственный процесс передачи автомобилей в Индии немного сложен. Есть много документации и других важных вещей, которые нужно сделать, чтобы безопасно транспортировать ваш автомобиль из одного штата в другой в Индии. Это не то же самое, что перевезти обычные предметы домашнего обихода и материалы, где все, что вам нужно, это надежные грузчики
Мой коллега крис сравнил поиск картинок Google с Bing Bing Images против Google Images - какие результаты лучше?
Моя работа состояла в том, чтобы испытать их в экстремальных условиях мужской кухни - как они выжили?
Моя работа состояла в том, чтобы испытать их в экстремальных условиях мужской кухни - как они выжили? Давай узнаем;) Прежде чем я упомяну о плюсах и минусах, я приглашаю вас посмотреть горшки в действии в фильме ниже, где я показываю рецепт вкусных венгерских блюд: Что производитель пишет о вашем продукте? Горшки Tefal Hero имеют очень толстое индуктивное дно, устойчивое к деформации, а толстый слой алюминия гарантирует равномерное распределение тепла, благодаря
Может ли Samsung открыть скины для других своих устройств в будущем?
Может ли Samsung открыть скины для других своих устройств в будущем? Конечно! Но сейчас это не тот случай. На подходящем устройстве Загрузить и установить установщик Fortnite из магазина Samsung Apps для Samsung. Следуйте остальной части процесса, изложенного в эта почта полностью установить
Как работает DNS спуфинг?
Как работает DNS спуфинг? DNS-спуфинг является всеобъемлющим термином и может осуществляться различными способами, такими как: Отравление кеша DNS Компрометация DNS-сервера Реализация человека в середине атаки Однако конечная цель злоумышленника, как правило, одна и та же, независимо от того, какой метод они используют. Либо они хотят украсть информацию, перенаправить вас на сайт, который им выгоден, либо распространять вредоносное
Как насчет перехвата DNS?
Как насчет перехвата DNS? Вредоносное ПО также может быть использовано, чтобы повлиять на разрешение доменных имен, чтобы жертвы подключались к серверу, контролируемому преступниками. Существуют примеры вредоносных программ, таких как Win32 / DNSChanger , которые изменяют DNS, установленный пользователем или нашим интернет-провайдером. Мы можем видеть, как они работают на следующем изображении:
Кроме того, какое удовольствие толкать себя перед байкером и таким образом вытирать цепь с его велосипеда?
Кроме того, какое удовольствие толкать себя перед байкером и таким образом вытирать цепь с его велосипеда? Пусть он уйдет, чтобы ему было легче войти, чтобы он был более комфортным и расслабленным. Помните, что водитель / водитель имеет зеркало и видит, что пассажиры все еще уходят. Он, конечно, не закроет дверь в его лице. А пожилой человек, который выходит намного медленнее, может, потому что после быстрого прыжка у здоровых молодых людей происходит естественный
Вы заметили, однако, что никто не сказал ни слова после того, как представил темную тему интерфейса macOS Мохаве ?
Кроме того, какое удовольствие толкать себя перед байкером и таким образом вытирать цепь с его велосипеда? Пусть он уйдет, чтобы ему было легче войти, чтобы он был более комфортным и расслабленным. Помните, что водитель / водитель имеет зеркало и видит, что пассажиры все еще уходят. Он, конечно, не закроет дверь в его лице. А пожилой человек, который выходит намного медленнее, может, потому что после быстрого прыжка у здоровых молодых людей происходит естественный
Если вы возьмете моды из уравнения, то где же останется Moto Z?
Если вы возьмете моды из уравнения, то где же останется Moto Z? Достаточно ли он выделяется на фоне конкуренции, которая становится все более мощной и доступной? Дизайн Moto Z потрясающий; Экран красивый, конструкция надёжная, а подход к программному обеспечению не побеждает. Но если вас не волнует вся модная революция, вы можете получить такой же флагманский опыт от OnePlus 3, который продается за 399 долларов. Несмотря на это, меня поразил дизайн Moto Z, и он работает плавно во время

Ибудь нужно было извлечь некоторые данные из таблицы Google?
Кто-нибудь переводит 1 процент от ямы или бросания монет в коробку интересно, какова эффективность данного фонда?
SmartWatch, оно того стоит?
Вы хотите перевезти или перевезти свой автомобиль из одного штата в другой в пределах Индии, но не знаете, с чего начать и как это сделать правильно?
Моя работа состояла в том, чтобы испытать их в экстремальных условиях мужской кухни - как они выжили?
Моя работа состояла в том, чтобы испытать их в экстремальных условиях мужской кухни - как они выжили?
Может ли Samsung открыть скины для других своих устройств в будущем?
Как работает DNS спуфинг?
Как насчет перехвата DNS?