Futurezone - Sécurité informatique, Programmation, GNU/Linux, Développement Web...

Structure d'une attaque, part IV

Par 4n9e le 24-09-2004

Présentation d'un cas concret, exemple du transfert de zone

Sommaire :
I. Environnement
II. Collecte d'informations
III. L'approche
IV. Conclusion

Les parties précédentes avaient pour but d'expliquer différentes étapes préparatoires à une attaque. L'attaque en elle même étant aussi variable que les failles et exploits existantes et a venir, nous allons prendre un exemple parmis d'autres pour illustrer in fine l'approche du système visé. L'exemple choisit sera le transfert de zone, la cible illustrant ceci est un cas réel, sécurisé depuis.

I. Environnement

Sur ces DNS on va trouver ce que l'on appelle les zones de transfert. Une zone de transfert est un fichier texte qui indique sur quelle Ip le domaine example.com pointera

Ceci étant établit, passons a l'attaque en elle meme :

Considérons donc le domaine suivant, choisit suite a une question d'un membre sur le forum : "caramail.com".

II. Collecte d'informations

Donc, Dans un premier temps, cherchons les deux dns secondaires pour ce domaine. Dans ce cas, on cherchera les infos de ce nom de domaine grace au Whois. Voici le résultat :

Domain Name: CARAMAIL.COM
Registrar: NETWORK SOLUTIONS, INC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com
Name Server: NS.CARAMAIL.COM
Name Server: DNS.SPRAY.SE
Name Server: DNS1-1.LYCOS.DE
Status: ACTIVE
Updated Date: 03-sep-2002
Creation Date: 25-aug-1997
Expiration Date: 24-aug-2006

Ou alors, selon le moteur Whois que vous utilisez :

Registrant:
Schaming, Christophe (CARAMAIL-DOM)
Lycos France
79, rue de Monceau
Paris, IDF 75008
FR

Domain Name: CARAMAIL.COM

Administrative Contact, Technical Contact:
Schaming, Christophe (SC1291) cs@caramail.fr
Lycos France
79, rue de Monceau
Paris, IDF 75008
FR
(33) 1 56 59 45 45 fax: (33) 1 70 91 25 01

Record expires on 24-Aug-2006.
Record created on 25-Aug-1997.
Database last updated on 21-Dec-2003 11:30:53 EST.

Domain servers in listed order:

NS.CARAMAIL.COM 213.193.13.2
DNS.SPRAY.SE 212.78.192.254
DNS1-1.LYCOS.DE 213.193.20.11

Ce qui nous interresse est les Name Server (NS). Il y en a un !
NS.CARAMAIL.COM 213.193.13.2

On doit en obtenir un maximum. Relancons Whois plus particulierement sur celui-ci.

NS.CARAMAIL.COM 213.193.13.2
NS3.CARAMAIL.COM 213.193.13.4
NEWWWW.CARAMAIL.COM 213.193.12.10
NS2.CARAMAIL.COM 213.193.13.3

On remarque tout de suite un NS, un NS2, un NS3? avec des Ip de la forme : 213.193.13.(NSx +1)

Well, il y a fort a parier que Caramail étant un gros poisson, il ait plus de 3 servers DNS dans la zone de transfert. Et ceux-ci seraient ils dans la plage indiquée ?... Afin de collecter un max d?informations, scannons cette plage. Surprise, pas mal de résultats et la confirmation que celle-ci est attribuée a Caramail ? On peut imaginer que la zone de transfert se trouve probablement la dedans !

III. L'approche

Continuons. Lancons donc la premiere étape du transfert, la demande de la zone de transfert complete (FULL QUERY).
Pour cela, une fenetre DOS et la commande "nslookup"

Vous devez vous retrouver face a un prompt ">" taper :

">server 213.193.13.2"

(ip du 1er dns de caramail.com) ceci va associer à cette ip toutes les commandes qui suivront dans le nslookup. Ensuite nous allons rentrer la commande du transfert de zone :

">ls -d caramail.com"

Comme il fallait s'y attendre, ce ne sont quand meme pas des charlots chez caramail, et nous obtenons un refus :

*** Impossible de fournir la liste du domaine caramail.com : Query refused

Pas de panique. Ce dns est juste ( !) patché contre le transfert. Mais comme nous sommes TRES motivé, alors testons l'autre :

">server 213.193.13.4"
">ls -d caramail.com"

Encore un patch ? Ce n'est pas grave. Courage ! encore un (NEWWWW.CARAMAIL.COM 213.193.12.10)

">server 213.193.12.10"
">ls -d caramail.com"

*** Impossible de fournir la liste du domaine caramail.com : Unspecified error

Alors le dernier : NS2.CARAMAIL.COM 213.193.13.3

">server 213.193.13.3"
">ls -d caramail.com"

Et voila ! Ca marche ! La zone de transfert apparait devant nous... et elle est enorme ! Comme on le voit, le dernier server n?était pas patché. Cette liste devrait ressembler a ceci :

www A 213.193.13.10
www9 A 213.193.13.19
carajeux A 195.68.62.165

IV. Conclusion

Ceci veut dire que l'adresse www.caramail.com pointera vers 213.193.13.10
Que l'adresse www9.caramail.com pointera sur 213.193.13.19
que l'adresse carajeux.caramail.com pointera sur 195.68.62.165

Et ainsi de suite... il y en a environs 400, alors faites couler un café, ca risque d'etre long !
Grace a la liste, on peut rechercher la machine la plus faible pour ainsi rentrer sur le réseau. La man?uvre sera d?exploiter une faille bien precise (par exemple unicode et Boundll.exe a l'époque, ou plus recente) afin de se créer les privilèges d'administration afin d'acceder a toute machine plus sécurisées. Par exemple, imaginons que www.caramail.com est protégé et impossible d'acces (a votre avis ? ), vous pourrez trouver avec cette méthode un pc sur le réseau qui serait beaucoup moins sécurisé, par exemple un pc servant a la compatibilité avec les autres (c'est souvent le cas)et avec lequel on pourrait "rebondir" sur les pc mieux sécurisés par l'interieur du réseau

4n9e pour FutureZone, 2004