host a dig
Úvod a kontext
host a dig jsou v praxi malé, ale velmi užitečné DNS utility. Samy o sobě nic neexploatují. Pomáhají ale rychle ověřit to, co je v řadě řetězců rozhodující ještě před prvním shellem: hostname, reverzní záznam, další vhost, povolený AXFR nebo infrastrukturu, kterou prostředí omylem popisuje veřejně.
Ve Fortress Jet stačí reverzní DNS a hned je z chudé landing page konkrétní doména. Ve Scavengeru je dig AXFR přímo most k dalšímu hostu a v Sauně dig potvrzuje hostname řadiče, takže Kerberos práce už nestojí na odhadu. Prakticky tedy nejde o “další recon tool”. Jde o rychlý způsob, jak si potvrdit, jak prostředí samo pojmenovává a strukturuje svoje služby.
Co host a dig v praxi řeší
Obě utility odpovídají na jednoduché, ale důležité otázky:
- jaký hostname patří k IP,
- jaká IP patří k jménu,
- jestli zóna vrací víc záznamů, než by měla,
- jestli existují další hosty nebo služby,
- a jaký tvar má interní DNS infrastruktura.
host bývá rychlejší jako první ověření jednoho jména nebo reverzního záznamu. dig je přesnější ve chvíli, kdy potřebujete:
- konkrétní typ záznamu,
- autoritativní odpověď od určitého serveru,
- AXFR,
- nebo podrobnější DNS výstup.
Právě v kombinaci jsou praktické. Nejprve si rychle potvrdíte základní směr a pak si přesně stáhnete to, co potřebujete.
Typicky to vypadá třeba takto:
host 10.10.10.175
dig -x $IP @$IP
dig AXFR RENTAHACKER.HTB @SUPERSECHOSTING.HTB
Nejčastější scénáře využití v tomto projektu
Reverzní DNS jako první rozpad anonymity hostu
Fortress Jet ukazuje čistý a jednoduchý scénář. Veřejný web sám o sobě skoro nic neříká, ale reverzní DNS najednou vrátí konkrétní jméno:
dig -x $IP @$IP
=> www.securewebinc.jet
To je prakticky velmi cenné, protože se tím z “nějakého webu na IP” stává:
- konkrétní doména,
- kandidát na další virtual hosty,
- a lepší vstup pro prohledání statických artefaktů nebo zrcadlení webu.
Právě tady je síla jednoduchého DNS dotazu: žádná zranitelnost se ještě nenašla, ale útok už přestal být slepý.
AXFR jako cesta k dalšímu hostu
Na Scavengeru DNS není vedlejší rekvizita. Je to přímý mezikrok k dalšímu kompromitovatelnému hostu:
dig AXFR RENTAHACKER.HTB @SUPERSECHOSTING.HTB
Výsledek:
sec03.rentahacker.htb
To je zásadní rozdíl proti obyčejnému “DNS reconu”. Nejde o zajímavost do poznámek. Jde o praktický zlom v řetězci:
- nový vhost,
- nová aplikace,
- a nová část infrastruktury, která na hlavní stránce vůbec nebyla vidět.
Širší význam tohoto patternu rozebírám i v článku WHOIS, DNS a AXFR jako reálná útočná plocha.
Potvrzení hostname a Kerberos kontextu
Na Sauně není DNS hlavní zranitelnost, ale bez něj by byly další kroky zbytečně nepřesné. dig potvrzuje, jak se řadič skutečně jmenuje:
dig ANY EGOTISTICAL-BANK.LOCAL @$IP
sauna.EGOTISTICAL-BANK.LOCAL. 3600 IN A 10.10.10.175
V AD prostředí to není kosmetika. Správný hostname a doména rozhodují o tom, jak pohodlně půjde:
- skládat uživatelský seznam,
- používat Kerberos utility,
- a rozlišit, co je opravdu DC a co jen další windowsový host.
host nebo dig tedy v takové chvíli nepřinášejí exploit, ale odstraňují zbytečnou nejistotu z dalších identity kroků.
DNS jako součást topologického mapování
Tentacle stojí na proxy a wpad.dat, ale prakticky pořád řeší stejnou disciplínu: prostředí samo prozrazuje, jaké hosty a rozsahy v něm existují. V podobných scénářích jsou host a dig přirozené doplňky k proxychains a curl, protože pomáhají ověřovat jména, PTR a další DNS stopy ještě před tím, než začnete cíl aktivně osahávat. Síťový kontext této vrstvy rozebírám i v článku Síťová topologie jako leak: WPAD, Squid, FXP a interní mapování.
Kdy jsou host a dig nejlepší volba
Největší smysl dávají tehdy, když:
- potřebujete rychle potvrdit hostname nebo PTR,
- chcete ověřit konkrétní zónu nebo server,
- zkoušíte, zda nefunguje AXFR,
- nebo si potřebujete zpřesnit DNS kontext před Kerberem, vhost enumerací nebo proxy pivotem.
Naopak nejsou náhradou za obsahový webový průzkum ani za síťový scan. Neřeknou, co přesně běží na hostu. Řeknou ale, jak si prostředí samo organizuje a pojmenovává služby.
Nejčastější chyby v praxi
Očekávání, že DNS dotaz už je sám o sobě nález
Na Sauně nebo Fortress Jet je dig důležitý hlavně proto, že zpřesní další směr. Samotný PTR nebo A záznam ještě neznamená kompromitaci.
Ignorování autoritativního serveru
Právě u AXFR nebo reverzních dotazů je důležité vědět, koho se ptáte. dig je praktický proto, že dovolí cílit dotaz na konkrétní DNS server a nedělat závěry z cache nebo lokálního resolveru.
Přehlížení jednoduchých DNS dotazů ve prospěch těžšího toolingu
V mnoha řetězcích se zbytečně přeskakuje základní otázka “jak se ten host opravdu jmenuje?”. Přitom právě host nebo dig -x často zkrátí cestu k vhostům, správné doméně nebo dalšímu jménu v infrastruktuře.
Čtení DNS jako pasivní dekorace
Scavenger je čistá ukázka toho, že DNS může být přímý bridge k dalšímu cíli. Jakmile je povolený AXFR, nejde o vedlejší detail, ale o samostatnou attack surface.
Související články v projektu
- Rozbory: Fortress Jet, Scavenger, Sauna, Tentacle
- Techniky: WHOIS, DNS a AXFR jako reálná útočná plocha, Síťová topologie jako leak: WPAD, Squid, FXP a interní mapování, IPv6 jako opomíjená attack surface
Co si odnést do praxe
hostadigjsou malé, ale velmi praktické DNS utility pro rychlé ověření jmen, PTR a zón.- Největší hodnotu mají tam, kde DNS není jen dekorace, ale skutečný zdroj dalšího hostu, správného hostname nebo infrastrukturního kontextu.
- Samy nic nelámou. Jen rychle a levně odstraní slepá místa, která by jinak brzdila další kroky.
Další Související Články V Projektu
Techniky
- WHOIS, DNS a AXFR jako reálná útočná plocha
- Síťová topologie jako leak: WPAD, Squid, FXP a interní mapování
- IPv6 jako opomíjená attack surface