利用「域名後綴」的漏洞劫持國家頂級域名（一）

域名是互聯網基礎的一部分，我們時刻都在使用它。然而，大多數使用域名的人卻很少了解域名是如何工作的。由於涉及到許多抽象層的東西和各種網路服務，所以許多人可以任意的擁有一個域名並建立一個網站，而不需要知道有關DNS，註冊商甚至WHOIS的任何知識。雖然這種情況有很多比較積極的好處，但它也掩蓋了最終客戶需要知道的許多重要信息。例如，許多註冊商非常樂意給你宣傳.io域名，但是有多少個.io 域名的持有者知道實際上到底是誰擁有並管理著.io域名？我不認為大多數域名所有者對域名背後的事情幾乎一無所知是一個很誇張的說法。那麼有一個問題：「域名後綴跟蹤記錄對安全來說意味著什麼？」

DNS結構簡介

如果你已經知道DNS是如何工作和被委派的，請隨時跳過本章節。

那麼當你購買域名時，你到底購買了什麼？從根本上來說，你只需購買一些NS（名稱伺服器）記錄，這些記錄將被託管在域名後綴的名稱伺服器上（這當然不包括二級服務，如WHOIS，註冊管理機構/註冊商運營成本以及其他費用）。為了更好地了解域名後綴在DNS鏈中的地位，我們來看一下example.com的代理流程圖。我發現，要了解清楚DNS的運作方式，可視化的方式是非常有益於理解的，所以我寫了一個名為TrustTrees的工具，它構建了一個域名的委派路徑圖：

上圖顯示了從根節點DNS伺服器開始的委託鏈。伺服器對於它所不熟悉的DNS委託的過程，它會通過連續的引用鏈進行工作，直到找到目標名稱伺服器。尋找DNS查詢的結果的客戶端將從根節點伺服器開始，查詢其中一個根節點名稱伺服器以獲取給定DNS查詢的應答。根節點伺服器可能沒有找到DNS查詢的結果，於是將查詢委託給了頂級域名（TLD），TLD會依次將查詢請求委託給適當的域名伺服器等等，直到收到權威的應答結果，以便確認域名服務商的應答是正確的。上圖顯示了可能發生的所有可能的委託路徑（藍色表示權威性應答）。之所以有許多路徑，是因為DNS的響應中包含了隨機順序的應答列表（稱為輪詢調度Round Robin DNS），以便為查詢提供負載平衡。根據結果的順序，可以查詢不同的名稱伺服器以獲得應答，從而可以提供完全不同的結果。該圖顯示了所有的排列順序並顯示了所有這些名稱伺服器之間的關係。

因此，如上所述，如果你購買了example.com，.com註冊商將在其DNS區域中添加一些NS記錄，將DNS的任何DNS查詢委託給你提供的名稱伺服器。對你的域名伺服器的委派是真正為你提供控制域名和為example.com創建任意子域名和DNS記錄功能的操作。如果.com的擁有組織決定刪除委託給你的名稱伺服器的名稱伺服器（NS）記錄，那麼就沒有人會正常解析你的名稱伺服器，因此example.com也將停止工作。

在上述委派鏈中採取這一步，你可以用與任何其他域名大致相同的方式來思考TLD和域名後綴是怎麼一回事。TLD之所以存在且可以運行，是因為根節點的名稱伺服器將查詢委託給了TLD的名稱伺服器。如果根節點名稱伺服器突然決定從其區域資料庫中刪除.com NS記錄，那麼所有.com域名都將處於一個糟糕的世界裡，基本上將不復存在也不能被正常訪問。

就像域名一樣，域名後綴可能會受到名稱伺服器漏洞的攻擊

現在我們已經知道，TLD和域名後綴的名稱伺服器就像普通域名是一樣的，問題是「 這是否意味著TLD和域名後綴可能會受DNS域名安全問題的影響？「。答案當然是肯定的。如果你在本博客中看過之前的一些文章，你就會看到我們已經可以通過各種方式來劫持域名伺服器。我們已經發表了過期的域名是如何導致域名被劫持的，我們還看到有很多託管的DNS提供商允許獲得對域的區域的控制，而沒有對所有權進行任何驗證。從我們在這些探索中學到的教訓，我們可以應用相同的知識來嘗試更多有趣的測試：

拿下目標域名後綴的攻擊計劃

與惡意攻擊者不同的是，我不願意採取許多可能讓你快速實現劫持域名擴展目標的行動。在攻擊域名後綴的研究方法的過程中，我發現許多域名後綴/或TLD名稱伺服器和註冊商在一開始就處於一個糟糕的狀態，所以利用和獲得控制權實際上比許多人想像的要容易得多。儘管我考慮到在註冊商/域名伺服器上獲得遠程代碼執行的策略，但是我仍然會提及這些可以成功入侵目標的可行途徑，因為現實世界裡的攻擊者不太關心所謂的倫理道德。

一般來說，以下是我想出的入侵TLD 或域名後綴的一些方法：

利用託管了某個域名後綴的DNS伺服器中的漏洞，或利用託管在域名後綴名稱伺服器上的任何其他服務的漏洞。攻擊註冊機構也屬於這一類別，因為他們有能力在正常運行的情況下更新這些域的Zone。

查找並註冊具有權威性的且已過期或輸入錯誤 的域名伺服器的域名後綴或 TLD。

通過在託管提供商中重新創建DNS區域來劫持域名後綴，該域不再具有託管的域名後綴。

劫持與TLD的WHOIS聯繫信息相關聯的電子郵件地址（如IANA根區域資料庫中所列出的地址）。

接下來我們將介紹這些方法，並討論在調查這些途徑時發現的一些結果，作為我們拿下目標的可能途徑。

存在漏洞的TLD和域名後綴名稱伺服器實際上是非常普遍的

為了開始研究第一種攻擊方法，我決定對所有的TLD名稱伺服器進行簡單的埠掃描。在完美的世界中，你希望看到的是在所有其他埠關閉時監聽UDP / TCP協議的53埠的伺服器列表。鑒於這些名稱伺服器的強大地位，重要的是儘可能縮小掃描範圍。暴露的任何其他服務（如HTTP，SSH或SMTP）都是攻擊者進行漏洞利用的一些途徑，以便能繼續入侵目標的TLD /域名後綴。

這部分有點尷尬，因為我只是想描述下具體情況，而不鼓勵你發起任何惡意活動。在這次調查過程中，只是簡單地瀏覽了頂級域名（TLD）名稱伺服器上託管的網站就發生了幾種情況，從而導致了很大的攻擊可用性指標，甚至在某些情況下能發現是之前被入侵的痕迹。我將忽略所有這些東西，僅使用一些關鍵的例子來說明這一點。

指示服務

203.119.60.105（e.dns-servers.vn）：越南的.vn TLD的權威名稱伺服器

指示服務協議（Finger protocol）於1971年由萊斯·歐內斯特設計，其目的是允許用戶檢查遠程計算機上的用戶的狀態。這是一個令人難以置信的老舊協議，已經不在任何現代系統上使用。協議的想法本質上是回答「嘿，Dave現在正在使用他的設備嗎？他正在忙嗎？「 ，用指示協議可以檢測遠程用戶的登錄名、真實名稱、終端名稱、空閑時間、登錄時間、辦公地點以及辦公電話等等。接下來，我們會利用Finger協議來檢查上面那個波斯尼亞的權威名稱伺服器，然後查看root用戶的情況：

看起來root用戶已經很久沒有登錄過了！我們來看看越南的一個域名伺服器：

bash-3.2$ finger -l user@203.119.60.105[203.119.60.105] Login name: nobody In real life: NFS Anonymous Access UserDirectory: / Never logged in.No unread mailNo Plan. Login name: noaccess In real life: No Access UserDirectory: / Never logged in.No unread mailNo Plan. Login name: nobody4 In real life: SunOS 4.x NFS Anonymous Access UserDirectory: / Never logged in.No unread mailNo Plan. Login name: named In real life: User run namedDirectory: /home/named Shell: /bin/falseNever logged in.No unread mailNo Plan.bash-3.2$ bash-3.2$ finger -l root@203.119.60.105 [203.119.60.105]Login name: root In real life: Super-UserDirectory: / Shell: /sbin/shLast login Tue Sep 30, 2014 on pts/1 from DNS-ENo unread mailNo Plan.

root用戶的最後一次登錄日期是2014年9月30日。Figure協議均安裝在這些名稱伺服器上，你可以想想這些伺服器有多老了。

動態網站

可能在53之後，最常見的開放名稱伺服器的一個埠是80埠（HTTP）。一些最有趣的結果就來自於訪問這些網站。例如，一個名稱伺服器將我重定向到了一個廣告網路：

* Rebuilt URL to: http://93.190.140.242/* Trying 93.190.140.242...* Connected to 93.190.140.242 (93.190.140.242) port 80 (#0)> GET / HTTP/1.1> Host: 93.190.140.242> Accept: */*> User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0>

我仍然無法確定這是否是一台已經被入侵過的域名名稱伺服器，或者也可能是管理員想單純地賺點外快而已。

其他名稱伺服器（例如阿爾巴尼亞的.com.al, .edu.al, .mil.al, .net.al和.nic.al名稱伺服器）則會返回各種配置頁面，這些頁面包含了關於當前伺服器的一些詳細信息：

無法在遠程伺服器（.ke，.ba和幾個其他後綴的域名伺服器）上運行命令行程序，那就不算完成：

此外，還有許多其他有趣的一些服務，為了保持文章簡潔我就不再展示更多的細節了。在各種域名後綴名稱伺服器上開放的諸如SMTP，IMAP，MySQL，SNMP，RDP之類的服務埠都不是平時常見的那些埠。鑒於這些服務的攻擊面很大，我認為走這條路線實現入侵的機會非常高，但是我們不會進行任何進一步的滲透測試，因為我們不想抱著惡意去行事。不過令人遺憾的是，由於大量的名稱伺服器安裝了過時的和不安全的軟體並且被管理員暴露在外部，所以這可能是一個無休止的嘗試。

檢查已過期的TLD和域名後綴的名稱伺服器的域名

我非常肯定這種攻擊途徑會是一種容易取得勝利的途徑，所以我花了很多時間構建工具來檢查這種類型的漏洞。此過程本質上是枚舉給定域名後綴的所有名稱伺服器的主機名，然後檢查是否有任何基本的域名已過期並可以註冊。我遇到的主要問題是許多註冊管理機構會告訴你，域名完全可用，直到你真正去嘗試購買。此外，還有一些域名伺服器的域名雖然已經過期，但由於某些原因，域名仍然無法註冊，儘管這些域名未被標記為「預定」狀態。這種掃描有個問題，它列舉的接管在受限的TLD 或域名後綴空間（.gov，.edu，.int，）的結果並不準確，掃描結果其實並沒有真正接管了這些TLD或域名後綴。

（未完待續）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！