freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

rbndr:一款功能强大的DNS重绑定服务
  • 关注
rbndr:一款功能强大的DNS重绑定服务
2023-01-27 10:39:12
所属地 广西

关于rbndr

rbndr是一款功能强大的DNS重绑定服务,该工具的使用非常简单,主要针对DNS重绑定漏洞而设计。rbndr的服务器可以通过随机选择主机名中指定的一个地址并以非常低的ttl作为回复来响应查询。

工具运行机制

DNS重绑定是TOCTOU漏洞的一种形式,也是计算机攻击的一种形式。 在这种攻击中,恶意网页会导致访问者运行客户端脚本,攻击网络上其他地方的计算机。 从理论上讲,同源策略可防止发生这种情况:客户端脚本只能访问为脚本提供服务的同一主机上的内容。 比较域名是实施此策略的重要部分,因此DNS重新绑定通过滥用域名系统(DNS)来绕过这种保护。

比如说,我们可以使用一个拥有API的浏览器插件来实现漏洞利用:

AllowUntrustedAccess("foobar.com");

SendArbitraryRequests("foobar.com");

此时,AllowUntrustedAccess()将会向主机发送一个preflightHTTP请求:

GET /CanIDisableSecurity HTTP/1.1

如果服务返回200,则插件允许主页完全访问该主机名。这可能是一个安全漏洞,因为你可以指定一个rbndr主机名,该主机名将在你控制的主机和您不控制的主机之间切换。该插件可能允许完全访问任意ip地址(例如内部服务或本地主机),即使该服务通常不允许preflight检查。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/taviso/rbndr.git

工具使用

对于易受此类攻击的软件,rbndr是一种简单的测试方法,无需修改/etc/hosts或设置自己的名称服务器。如果软件只将结果与主机名关联,而不与主机名和ip地址关联,那么你就可以授权自己访问任何ip地址。

主机名的格式很简单:

<ipv4 in base-16>.<ipv4 in base-16>.rbndr.us

比如说,如需在127.0.0.1和192.168.0.1之间切换,则需要将它们编码为dword,并按下列方式使用:

7f000001.c0a80001.rbndr.us

测试结果如下:

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 192.168.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 192.168.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 192.168.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 127.0.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 127.0.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 192.168.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 127.0.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 127.0.0.1

$ host 7f000001.c0a80001.rbndr.us

7f000001.c0a80001.rbndr.us has address 192.168.0.1

正如我们所看到的,服务器会随机返回其中一个地址,接下来就可以使用下列方法进行额外处理:

// 持续调用API直到它解析到你可以控制的地址并拿到访问权

while (AllowUntrustedAccesss("7f000001.c0a80001.rbndr.us") != true)

  ;

 

// 访问授权后,就可以等待其完成重绑定

while (ConnectToPort("7f000001.c0a80001.rbndr.us", 123) != true)

 ;

 

 // 现在,我们就拿到了localhost:123的访问权了 

 SomethingEvil();

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

rbndr:【GitHub传送门

参考资料

https://en.wik1pedia.org/wiki/DNS_rebinding

https://www.adobe.com/devnet/flashplayer/articles/fplayer9_security.html

https://lock.cmpxchg8b.com/rebinder.html

# DNS重绑定 # DNS安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
关于rbndr
    工具运行机制
      工具下载
        工具使用
          许可证协议
            项目地址
              参考资料