Medium lief heute so schlecht, dass ich meinen vorherigen Beitrag löschen und erneut hinzufügen musste, als ich ein paar Dinge aktualisieren und korrigieren wollte
Medium kann StoryWeirdness nicht erneut auf denselben DNS-bezogenen Storys speichernMedium com
Ich hoffe, das kann das herausfinden In der Zwischenzeit ist hier der aktualisierte Beitrag
Eine meiner Geschichten über DNS-Sicherheit und Ubuntu
Es ist keine wirklich gute Idee, einen DNS-Server auf Ihrer VM zu betreiben, es sei denn, Sie benötigen ihn wirklich
Ich überlasse die Recherche zu diesen Themen als Übung für den Leser
DNS-RebindingDNS-ExfiltrationDNS-TunnelingDNS-VerstärkungVergangene Schwachstellen auf DNS-ServernDie Liste geht weiter
Ich war überrascht, dass beim Einrichten von Burp Collaborator dieser Fehler angezeigt wurde Was Ich betreibe einen DNS-Server Allerdings habe ich vorher hauptsächlich Windows und etwas Debian sowie Centos, RedHat und natürlich Amazon Linux verwendet Ich bin mit Ubuntu noch etwas neu im Umgang mit Ubuntu, also bin ich dabei, alle Details herauszufinden und habe vor, im Laufe der Zeit mehr zu schreiben
Ich hatte nicht damit gerechnet, dass ich einen standardmäßig ausgeführten DNS-Server deaktivieren müsste Können Sie sich einen DNS-Server vorstellen, der standardmäßig auf allen vorhandenen Windows-Rechnern läuft Für diejenigen, die die Auswirkungen verstehen – ein Albtraum
Außerdem sage ich „Standard“, weil ich das nicht installiert habe Die einzigen Dinge, die ich meiner Meinung nach auf dieser Instanz installiert habe, waren
xrdpgitawscliBurpIch habe auch das Let's Encrypt HTTP-Validierungstool auf einem Server installiert was mir nicht gefällt und ich nicht empfehle, aber nicht auf beiden Servern wo dieser standardmäßige systemd-DNS-Server ausgeführt wird Ich habe viele Leute gehört, die sich über systemd beschwert haben Ist das der Grund Oder etwas anderes Ich weiß es nicht, aber das gefällt mir nicht
Das war der Fehler, der mich zu dieser Entdeckung geführt hat
Bind-Fehler – Adresse wird bereits verwendet Port 53, DNS
Ich habe herausgefunden, was DNS ausführt, indem ich den folgenden Befehl ausgeführt habe
sudo netstat -apn | grep 53So deaktivieren Sie diesen Dienst
Bevor Sie beginnen – verstehen Sie, was vor sich gehtIn den folgenden Schritten sind zwei Dienste beteiligt Wenn Sie den DNS-Dienst vorzeitig deaktivieren, bevor Sie den zweiten Dienst konfiguriert haben, kann Ihr System keine DNS-Anfragen mehr lösen und es treten Probleme auf
Der Dienst, den wir deaktivieren werden, ist
systemd-resolvedserviceDer alternative Dienst, den wir aktivieren werden, ist
resolveconfWenn Sie den einen oder anderen davon nicht richtig konfiguriert haben, wird so ziemlich alles auf Ihrem System kaputt gehen, insbesondere in einer Cloud-Umgebung Sie können mit dem Befehl dig wie folgt überprüfen, ob DNS funktioniert
Wenn Sie „resolveconf“ nicht korrekt installieren und konfigurieren, bevor Sie „systemd-resolvedservice“ deaktivieren, erhalten Sie möglicherweise diesen Fehler
Beachten Sie, dass meine „resolveconf“ standardmäßig diese Informationen enthielt und ich dachte, dass das Obige von dort käme, aber selbst nachdem ich versucht hatte, diese Datei zu entfernen und auf die richtigen Nameserver zu aktualisieren und die Dienste neu zu starten, bekam ich immer noch das Obige Sobald Sie in einen fehlerhaften Zustand geraten, scheinen keine Befehle mehr zu funktionieren, um resolvconf in einen gültigen Zustand zu versetzen Ich habe einfach meine Änderungen rückgängig gemacht und von vorne begonnen
Ich habe Schritte, um diese Änderungen rückgängig zu machen, wenn Sie unten einen Fehler machen
Verwenden Sie sudo für jeden Befehl Wenn Sie sudo nicht zum Bearbeiten einer Datei mit vi verwenden können, geben Sie Escape und dann q ein um den vi-Befehl mit sudo zu beenden und erneut auszuführen
OK, Sie wurden gewarnt Fahren wir fort
Ersetzen Sie systemd-resolvedservice durch discoverconfInstallieren Sie resolvconf
sudo apt-get install resolvconfWenn angezeigt wird, dass es bereits vorhanden ist, müssen Sie es möglicherweise neu installieren<--/ p-->sudo apt-get reinstall resolvconf
Bearbeiten Sie /etc/systemd/resolvedconf mit sudo
sudo vi /etc/systemd/resolvedconfGeben Sie i zum Einfügen ein
lt; pgt;Fügen Sie diese Zeile hinzu DNSStubListener=noescape then wq um die Datei zu speichern
Andere Blog-Beiträge sagen „den symbolischen Link entfernen“ wie folgt, aber egal, ob es sich um einen symbolischen Link oder eine Datei handelt oder nicht, Sie können ihn entfernen
sudo rm /etc/ resolvconfHier ist der Punkt, an dem DNS nicht mehr funktioniert
Erstellen und bearbeiten Sie /etc/resolvconf mit den oben genannten Befehlen
Überprüfen Sie, wie Ihre spezielle Cloud-Plattform funktioniert wenn Sie dies in der Cloud tun Stellen Sie in AWS Ihren DNS-Server ein auf
Nameserver 169254169253DNS-Attribute für Ihre VPCControl DNS-Unterstützung für Ihre VPCdocsawsamazoncom
oder ziehen Sie diese DNS-Server in Betracht, wenn Sie befinden sich außerhalb von AWS
Einfache DNS-Änderung zur Verhinderung von Angriffen 1112 und 1113 für sicherere Heim- und Kleinunternehmensnetzwerkemediumcom
Nameserver 1113Nameserver 1003lt; pgt;Beachten Sie, dass ich dort ursprünglich einen Doppelpunkt hatte Das ist falsch Nameserver xxxxStellen Sie sicher, dass Ihr Netzwerk Ihrem Host erlaubt, diese DNS-Server zu erreichen Auf AWS müssen Sie in Ihrem Netzwerk keine Regeln hinzufügen, um AWS-DNS-Server zu erreichen Sie müssten jedoch Regeln hinzufügen, um alternative Nameserver zu erreichen In diesem Fall kann es bei AWS zu Fehlern bei einigen Dingen kommen, die sich nur im privaten AWS-DNS befinden Server Das ist ein Thema für einen anderen Beitrag
Deaktivieren Sie aufgelöst und aktivieren Sie resolvconf
sudo systemctl deaktivieren Sie systemd-resolvedservicesudo systemctl aktivieren Sie resolvconfNeustart
sudo rebootErneut ausführen Verwenden Sie den obigen Befehl „netstat“, um zu überprüfen, ob auf Port 53 nichts ausgeführt wird
Führen Sie den Befehl „dig“ aus, um zu überprüfen, ob DNS funktioniert
Nachdem ich damit herumgespielt habe, ist mir noch etwas aufgefallen Der Eintrag für den lokalen Host fehlt in der Datei /etc/host
sudo vi /etc/hostFügen Sie diese Zeile hinzu, um die Auflösung des lokalen Hostnamens wiederherzustellen
127001 localhostEin AWS scheint auch nach einem Namen mit Ihrer IP-Adresse wie diesem zu suchen
127001 ip-x-x-x-xwobei x-x-x-x die lokale IP-Adresse Ihrer VM ist
Das habe ich auch gefunden Dort gibt es überflüssige IPv6-Einträge, da ich IPv6 auf meiner Ubuntu-Instanz deaktiviert habe, wie hier erklärt
xrdp lauscht nur auf IPv6 – hängt bei der Konfiguration des Remote-PCs Ich habe herausgefunden, warum ich keine Verbindung herstellen kann, aber nicht, warum es nur auf IPv6 auf 3389 lauscht und was chnaged – wer testet dasmediumcom
Dieser Befehl sollte wieder funktionieren
dig localhostDas hat das Problem gelöst, aber die größere Frage ist
lt; pgt;Warum läuft unter Ubuntu standardmäßig ein DNS-ServerIch wünschte, Canonical oder AWS oder wer auch immer für die Standardkonfiguration verantwortlich ist, würde diesen Dienst standardmäßig deaktivieren Ich weiß noch nicht genug über Ubuntu, um zu wissen, wer dafür verantwortlich ist
Oder war es xrdp Ich glaube nicht, dass es Burp war, da beim Versuch, Burp zu konfigurieren, wenn es ausgeführt wird, ein Konflikt auftritt
Machen Sie Ihre Änderungen rückgängig, wenn Sie einen Fehler machenWenn Sie, wie ich, diese Schritte falsch ausgeführt haben , machen Sie die Änderung an /etc/systemd/resolvedconf rückgängig
Stellen Sie sicher, dass der Dienst aktiviert ist
sudo systemctl enable systemd-resolvedserviceFühren Sie diesen Befehl aus, um den Symlink wiederherzustellen
sudo ln -sf /run/systemd/resolve/resolvconf /etc/resolvconfNeustart
sudo rebootFolgen Sie für Updates
Teri Radichel | © 2nd Sight Lab 2023
Über Teri Radichel~~~~~~~~~~~~~~~~~~~⭐️ Autor Cybersecurity Books⭐️ Präsentationen Präsentationen von Teri Radichel⭐️ Anerkennung SANS Award , AWS Security Hero, IANS Faculty⭐️ Zertifizierungen SANS ~ GSE 240⭐️ Ausbildung BA Business, Master of Software Engineering, Master of Infosec⭐️ Unternehmen Penetrationstests, Beurteilungen, Telefonberatung ~ 2nd Sight LabBenötigen Sie Hilfe bei Cybersicherheit, Cloud oder Anwendung Sicherheit~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~🔒 Fordern Sie einen Penetrationstest oder eine Sicherheitsbewertung an ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ❤️ Unterschreiben Oben in meiner mittleren E-Mail-Liste❤️ Twitter teriradichel❤️ LinkedIn https//wwwlinkedincom/in/teriradichel❤️ Mastodon teriradichelinfosecexchange❤️ Facebook 2nd Sight Lab❤️ YouTube 2ndsightlab https//wwwreplicarolexscience