之前在某個每次漲價都一堆人排隊的客戶那邊demo了入侵前用DNS蒐集資料的方式時,沒想到客戶的DNS的確洩漏許多重要伺服器的資訊,他們也尷尬,我也很意外。後來,他們行動很快速的把DNS設定修正回來了。那時候用的是手動的方式。
所以呢,又在BACKTRACK上繼續試了FIERCE這個用PERL寫成的SCRIPT。果然,有一些想法以前沒想過。
首先FIERCE可以做到減少你打指令去嘗試ZONE TRANSFER:
perl fierce.pl -dns abcdef.com
就可以幫你做完整個步驟
再來
除了嘗試ZONE TRANSFER之外呢,他還用找到的IP上上下下去找過一遍,因為很多公司的電腦IP都在附近。也就是說一整個C CLASS或者128個IP或64個IP,通通集中在一起,所以雖然在網路上只有露出MX,也就是MAIL的資料;DNS,這是一定要;以及WWW主機的IP,但是只要你在同一個C CLASS附近,找到了DNS或MAIL或WWW主機就等於找到了所有主機。
這在國內似乎都很正常,我看兩大人力銀行上面不約而同都有PAYMENT.XXX.COM.TW,我只能說,WOW,VALUABLE。AMAZON也是一整串C CLASS,但是人家在伺服器名稱上完全看不出來他是做什麼的(伺服器名稱完全等於IP,強),相較之下,哇,PAYMENT,乾脆改名為HACK ME IF YOU CAN(以前有一部電影是李奧那多,迪卡皮歐演的叫CATCH ME IF YOU CAN)。
此外,針對比較小心的公司(這邊申請五個IP,那邊申請五個IP的這種公司),他提供內建的字典去查名稱,找到之後再進行上個步驟,找同一個RANGE裡的IP,這樣就可以處理跳來跳去的IP。厲害。
當然,如果真的被你找到ZONE TRANSFER的內部IP資料的話,他也可以針對192.168.X等等內部IP來做搜尋。不過這些進階功能需要時再到上面的連結去看就可以,plain English。
一樣,這在backtrack裡就有。
補充,試用在國內的一些伺服器,有些狀況下,掃描會卡住,這時候用另一個套件dnsenum速度較快,得到的結果也比較簡單,沒那麼全面性,是second choice。
所以,如果公司要避免這種問題發生的話,有兩點必須做到。
1.拜託不要把伺服器的角色寫在伺服器名稱裡,像是dns1、dns2、ex2k、payment、imss這些內行的肯定猜得出來的字眼
2.IP Range盡量不要在一起(只申請一條專線),以免被找到時一整串被找到。而且這樣還有一個好處,這條線掛了不會全公司都掛(風險太高了吧?)
沒有留言:
張貼留言