Domanda Cambio dei DNS con cosa?

Ordina per data Ordina commenti per reazioni

☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣

Utente Emerald
18 Dicembre 2014
353
80
167
375
Ragazzi scusate la domanda niubba,

ma che succede se cambio i DNS di un sistema, che in origine usa quelli del proprio provider di servizi internet, sostituendoli con l'indirizzo IP del mio PC o smartphone? Insomma, immettendo l'IP pubblico del mio dispositivo?

Sto parlando comunque di sistemi su due reti differenti, non in LAN e non con connessione internet in comune, ma tutto da remoto.

In caso, dopo averli sostituiti con l'IP pubblico del mio dispositivo (perché ovvio, il local host non lo trova, essendo in remoto e su linee differenti), come entro nel sistema?


Grazie a tut*.


DNS_VNC.jpg
 
DjCanigia ha detto:
Dimmi se ho capito bene:
Hai un PC remoto dove vuoi mettere come server DNS l'IP pubblico della tua rete?
Clicca per espandere...
Esattamente.
Non è proprio un PC, ma un'interfaccia HMI (OS: Windows CE) che controlla un sistema nel quale sono connessi PLC e RTU.

E' possibile controllare l'HMI, quindi da essa tutti i moduli che formano il sistema d'automazione industriale SCADA, cambiando i DNS di default del provider che ho per quella linea?

Cosa devo mettere come indirizzo del DNS? Ho provato con l'IP pubblico del PC di casa, ma non funziona.

Grazie.
 
L'indirizzo è giustamente quello pubblico ma per funzionare devi configurare il port forwarding per la porta 53 UDP sul dispositivo che fornisce il servizio DNS. Rispondendo alle domande precedenti "cosa succede": succede che il dispositivo client inizierà a interrogare il tuo server DNS per risolvere gli indirizzi e puoi dirottare domini ad altri indirizzi, loggare le query dei vari client, risolvere domini non esistenti pubblicamente con indirizzi tuoi in stile intranet aziendale eccetera. "Come entro nel sistema" intendi che vuoi installare una backdoor? In tal caso non è così automatico, in passato alcuni malware infettavano i router, alterando il DNS predefinito, per presentare pagine di phishing con malware quando si visitano certi siti web, un modo "0-click" deve sfruttare un ulteriore vulnerabilità, immagina ad esempio un software che scarica update non firmati da http, in tal caso potresti servire un update "avvelenato".
 
  • Mi piace
Reazioni: TheWorm91, DjCanigia e ☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣
JunkCoder ha detto:
L'indirizzo è giustamente quello pubblico ma per funzionare devi configurare il port forwarding per la porta 53 UDP sul dispositivo che fornisce il servizio DNS. Rispondendo alle domande precedenti "cosa succede": succede che il dispositivo client inizierà a interrogare il tuo server DNS per risolvere gli indirizzi e puoi dirottare domini ad altri indirizzi, loggare le query dei vari client, risolvere domini non esistenti pubblicamente con indirizzi tuoi in stile intranet aziendale eccetera. "Come entro nel sistema" intendi che vuoi installare una backdoor? In tal caso non è così automatico, in passato alcuni malware infettavano i router, alterando il DNS predefinito, per presentare pagine di phishing con malware quando si visitano certi siti web, un modo "0-click" deve sfruttare un ulteriore vulnerabilità, immagina ad esempio un software che scarica update non firmati da http, in tal caso potresti servire un update "avvelenato".
Clicca per espandere...
Scusami, non credo di aver compreso totalmente quanto hai scritto.

So di un attacco che si chiama DNS Spoofing ed un altro DNS poisoning con relativo hijacking dei DNS, ma quindi quale indirizzo IP si deve inserire per far sì che un sistema in remoto interroghi l'altro a casa e da quest'ultimo si possa accedere totalmente a quello remoto (che è un'interfaccia HMI con montato Windows CE)?

Il mio IP ovviamente non risolve l'hostname e non fornisce alcun servizio, quindi cosa succede se lo inserisco? Cosa arriva all'host remoto?

Grazie.
 
☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣ ha detto:
Scusami, non credo di aver compreso totalmente quanto hai scritto.

So di un attacco che si chiama DNS Spoofing ed un altro DNS poisoning con relativo hijacking dei DNS, ma quindi quale indirizzo IP si deve inserire per far sì che un sistema in remoto interroghi l'altro a casa e da quest'ultimo si possa accedere totalmente a quello remoto (che è un'interfaccia HMI con montato Windows CE)?

Il mio IP ovviamente non risolve l'hostname e non fornisce alcun servizio, quindi cosa succede se lo inserisco? Cosa arriva all'host remoto?

Grazie.
Clicca per espandere...

DNS serve a risolvere i nomi dominio non puoi "accedere totalmente" al pc remoto solo perché ha il tuo indirizzo impostato come server DNS, come ho detto nel post precedente per fortuna servono ulteriori step per piantare una backdoor e non è sempre possibile (VPN, DoH, HSTS...)

Visto che sul tuo sistema non hai un server DNS succede che il PC remoto prova a connettersi e la connessione fallisce, in sostanza non può più risolvere indirizzi e usando un browser può sembrare che sia offline ma può ancora visitare indirizzi IP diretti. Se invece installi un server DNS funzionante, il client naviga normalmente e il tuo sistema viene ogni volta interrogato con i nomi dominio che il client vuole visitare e lì puoi decidere se loggare, cambiare indirizzi eccetera.
 
  • Mi piace
  • Grazie
Reazioni: TheWorm91, --- Ra --- e ☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣
Non ho chiaro a che scopo vorresti cambiare i DNS di quei sistemi con l'IP del tuo dispositivo. Se intendi intercettare il traffico forse sarebbe più efficace impostare su quei sistemi l'IP del tuo dispositivo come server proxy...
 
TheWorm91 ha detto:
Non ho chiaro a che scopo vorresti cambiare i DNS di quei sistemi con l'IP del tuo dispositivo. Se intendi intercettare il traffico forse sarebbe più efficace impostare su quei sistemi l'IP del tuo dispositivo come server proxy...
Clicca per espandere...
No, non voglio solo intercettare il traffico, ma stabilire una shell alla fine, ma so che non è sufficiente un "DNS hijacking" (tra virgolette, perché si tratta di sistemi miei, situati in località fisiche differenti).

Pensavo però potesse essere una base per un collegamento robusto e stabile ma dall'altro lato dovrebbe essere chiuso e protetto dalle intrusioni esterne, con la rete remota ed i moduli che la compongono. In ogni caso parliamo di ambito OT e non IT, quindi dispositivi industriali come PLC, RTU, HMI il mio target di collegamento diretto, poiché è da essa che si interagisce operando sull'intero impianto industriale e, ovviamente, il software SCADA, che è centrale nella gestione del sistema.

Teoricamente, con un APT ben strutturato, se il target è un'azienda partendo dall'area OT è possibile risalire raggiungendo anche i sistemi dell'ambito IT e addirittura il reparto analisi, fino all'area Executive. Ovviamente questo lo dico a scopo di conversazione generale e non mi riferisco ad alcun target definito, è solo un'info a scopo conoscitivo.
 
☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣ ha detto:
No, non voglio solo intercettare il traffico, ma stabilire una shell alla fine, ma so che non è sufficiente un "DNS hijacking" (tra virgolette, perché si tratta di sistemi miei, situati in località fisiche differenti).

Pensavo però potesse essere una base per un collegamento robusto e stabile ma dall'altro lato dovrebbe essere chiuso e protetto dalle intrusioni esterne, con la rete remota ed i moduli che la compongono. In ogni caso parliamo di ambito OT e non IT, quindi dispositivi industriali come PLC, RTU, HMI il mio target di collegamento diretto, poiché è da essa che si interagisce operando sull'intero impianto industriale e, ovviamente, il software SCADA, che è centrale nella gestione del sistema.

Teoricamente, con un APT ben strutturato, se il target è un'azienda partendo dall'area OT è possibile risalire raggiungendo anche i sistemi dell'ambito IT e addirittura il reparto analisi, fino all'area Executive. Ovviamente questo lo dico a scopo di conversazione generale e non mi riferisco ad alcun target definito, è solo un'info a scopo conoscitivo.
Clicca per espandere...
Qualcosa mi dice che stai usando Shodan.😁
In ogni caso, almeno in base alla mia esperienza, i sistemi SCADA sono accessibili in remoto senza bisogno di utilizzare alcuna Shell. Spesso hanno delle pagine di controllo dell'accesso tipo quelle del router ed hanno molto frequentemente credenziali di default: una volta trovate si accede direttamente al quadro comandi del sistema SCADA. Ottenere una Shell è qualcosa che si fa tipicamente con computer-server remoti: in questi casi si punta a stabilire o una reverse Shell oppure una bind Shell.
 

DISCUSSIONI SIMILI

T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
D
Guida Router, modem, access point, switch cosa sono?
  • 1
  • 831
1
831
Manuali di Informatica e Reti
0xbro
N
Discussione Come spacciare un C2 per una connessione normalissima, bypassando il firewall (social engineering - get pwned blue team)
  • Chiuso
  • 0
  • 300
0
300
Sicurezza Informatica
Netcat
0
Guida Cosa è un Penetration Test e quali sono le sue fasi
  • Release
  • In evidenza
  • 2
  • 3K
2
3K
Pentesting e Ethical Hacking Guide e Tools
MRPants
M
Discussione Articolo Lockbit attacca l'italia
  • Chiuso
  • 0
  • 355
0
355
Sicurezza Informatica
MRPants
Top Bottom
Indietro