网上公开提供dnslog服务有很多，比如知道创宇，三叶草的等等，但是这些提供的域名是固定的，现在一些比较大型的企业已经把这些域名也加入到监控范围之中了。

如果自建一个dnslog服务，就能很好的规避这种情况！！！

一、DNS基本概念

0x1：DNS中不同域名类型概念

DNS的全称是Domain Name System（网络名称系统），它作为将域名和IP地址相互映射，使人更方便地访问互联网。当用户输入某一网址如littlehann.com，网络上的DNS Server会将该域名解析，并找到对应的真实IP如101.37.97.51，使用户可以访问这台服务器上相应的服务。

DNSlog就是存储在DNS Server上的域名访问信息，它记录着用户对域名littlehann.com等的访问信息，类似日志文件。

按照解析类型分类，DNS域名有如下几种：

• A记录：A (Address) 记录是用来指定主机名（或域名）对应的IP地址记录。就是说：通过A记录，大家可以设置自己的不同域名转到不同的IP上去。如：

• www.dns.la转到IP 116.255.202.1
• web.dns.la 转到IP 116.255.202.11
• mail.dns.la 转到IP 116.255.202.111

• MX记录（Mail Exchange）：邮件交换记录，用户可以将该域名下的邮件服务器指向到自己的Mail Server上，然后即可自行操作控制所有的邮箱设置。
• CNAME（Canonical Name）记录：通常称别名解析，可以将注册的不同域名都转到一个域名记录上，由这个域名记录统一解析管理，与A记录不同的是，CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址。
• URL（Uniform Resource Locator）转发：网址转发功能，如果您没有一台独立的服务器（也就是没有一个独立的IP地址）或者您还有一个域名B，您想访问A域名时访问到B域名的内容，这时您就可以通过URL转发来实现。URL转发可以转发到某一个目录下，甚至某一个文件上。而CNAME是不可以，这就是URL转发和CNAME的主要区别所在。
• NS（Name Server）：NS记录是域名服务解析记录，NS用来指定该域名由哪个DNS服务器来进行解析，可以把一个域名的不同二级域名分别指向到不同的DNS系统来解析。
• AAAA记录：IPV6解析记录，该记录是将域名解析到一个指定的IPV6的IP上。

0x2：DNS解析顺序

当客户端对域名发起访问时，会将解析请求发送给递归解析服务器，递归服务器会代替客户端进行全球递归查询。

• 首先递归服务器会请求根域名服务器，根域名服务器根据域名后缀，告知对应的顶级域名服务器
• 递归服务器再向顶级服务器发起请求，顶级域名服务器告知对应的权威服务器
• 递归服务器向权威服务器发起请求，权威服务器告知解析结果
• 递归服务器将结果告知客户端，客户端完成访问

以上是DNS解析的标准流程，但是由于各种DNS缓存的存在，导致DNS解析环节更为复杂。

所谓DNS缓存是指DNS返回正确的IP地址之后，系统会将这个结果临时储存起来，并为缓存设定一个失效时间（TTL值），在TTL失效前，当再次访问这个网站，系统就会直接从DNS 缓存中将结果返回，而不必再次委托递归服务器进行全球解析查询，加快了DNS解析的流程。

当然TTL值失效后，系统还会自动再次询问DNS服务器以获取最新的解析结果。

按照缓存位置的不同，DNS缓存可以分为以下几类：

• （1）浏览器DNS缓存：浏览器会根据一定频率缓存DNS记录
• （2）本地DNS缓存：如果浏览器缓存中找不到解析记录，就会去询问操作系统中的缓存
• （3）本地HOSTS文件：HOSTS是记录域名与IP地址一一映射关系的本地文件，Windows系统中位于C:WindowsSystem32driversetc
• （4）路由器DNS缓存：我们常用的路由器也带有自动缓存功能，路由器DNS被篡改会造成域名劫持，将访问网址定位到另外一个服务器
• （5）递归服务器缓存：递归服务器在将解析结果告知客户端的同时，将记录缓存下来，当下次请求同一个域名时，直接会将记录返回，而无需再进行全球查询

DNS解析顺序是“先查缓存，再递归解析”，查询顺序为：浏览器缓存—系统缓存—路由器缓存—递归服务器缓存—递归查询。

参考链接：

https://developer.aliyun.com/article/331012

二、DNSlog安全风险分析

0x1：为什么需要DNSlog平台

在某些情况下，无法利用漏洞获得回显。但是，如果目标可以发送DNS请求，则可以通过DNS log方式将想获得的数据外带出来（oob）。

DNS log常用于以下情况：

• SQL盲注
• 无回显的命令执行
• 无回显的SSRF

0x2：为什么能够出现DNSlog平台这种技术

首先，DNS服务是互联网核心基础设施之一，DNS query外连端口和外连请求几乎在整个互联网上都是默认开放的，这对攻击者来说就是一个绝佳地稳定oob通道。

其次，因为DNS解析服务整体上看是一个分布式地架构，NS server则是这个分布式架构的基础设施，同时攻击者可以很容易地创建自己的NS server，从而给攻击者利用DNS递归查询流程作为oob信息收集提供了极大地便利。

攻击者劫持受害机器的执行流后，发起DNS query查询，查询的域名是攻击者自有的A记录域名，同时由于攻击者声明了该A记录的NS记录，该NS记录指向的是攻击者控制的一台域名服务器，所以根路由会将该DNS query查询发送到攻击者控制的域名服务器上（也就是运行了dnslog程序的机器上），至此完成了oob信道传递过程。

0x1：前期准备

• 一台公网可访问机器：运行DNS解析服务程序，作为DNS域名服务器，接受来自53端口的DNS解析请求，并将DNS query继续递归查询，完成最终查询，相当于一个DNS query proxy的作用。
• 一个有效域名

注意，上述公网可访问机器必须开放UDP 53端口，以确保该机器可以接受DNS查询以及进行DNS递归查询。

0x2：域名解析准备

• 添加一个A记录，将域名xxx指向公网可访问机器xx。
• 添加一个NS记录，将NS记录指向A记录。

通过制定NS记录，便指定了解析对应A记录的DNS域名服务器，以此完成了DNS oob的信道搭建。

0x3：搭建充当NS Server的DNSlog Server

下载地址：

https://github.com/lanyi1998/DNSlog-GO/releases

下载对应版本并解压，

wget https://github.com/lanyi1998/DNSlog-GO/releases/download/1.5.6/dnslog-linux.zip

编辑配置文件，

启动服务，

./dnslog-linux

0x4: 后台运行并加入开机自启动

上面的方法有两个不足

• 无法后台运行
• 重启后进程不复存在

经过一个多小时的排错和搜索资料，终于实现了开机自启动并后台运行。这里我详细地写下教程，免得大家像我一样出现很多错误耽误时间。

1、编写Shell脚本

在/root/DNSlog目录下编写run.sh，内容如下

cd /root/DNSlog  # 这里根据自己DNSlog的main可执行文件所在位置进行修改即可./main &

之后执行run.sh这个脚本，此时进程虽然会输出到当前终端会话，但其实进程已经脱离了当前会话，可以安全的推出会话，进程也不会退出。

2、修改rc.local

vim /etc/rc.d/rc.local

在末尾加上这句

/root/DNSlog/run.sh >/dev/null 2>&1

给rc.local加上可执行权限

chmod +x /etc/rc.d/rc.local

3、修改rc-local服务

systemctl status rc-local.service # 检查rc-local服务是否开启
systemctl start rc-local.service  # 开启rc-local服务
systemctl enable rc-local.service # 将rc-local服务加入开机自启动

4、测试

重启vps后，使用ps -ef可以发现已经自动运行了该程序，后台进程ID为1146

Web服务也能成功访问

杀死进程可以使用命令 kill -9 进程PID

5、最后

到这里我们就实现了只要VPS处于开机状态，main程序就自动运行，常开随用，我们可以方便快捷地使用DNSlog。但常开随用也带来了一个问题就是，如果某个攻击者获得了我们的Token（社工或爆破等手段），那么攻击者就可能会使用我们的VPS主机开启的DNSlog服务去进行一些非法渗透，而如果被溯源到就会很麻烦，因此我们需要提高Token的复杂度且避免泄露，或者不使用这节的技术，使用原始的随开随用方法，什么时候需要用DNSlog就什么时候运行main程序，很大程度上可以避免这个问题。

三、参考链接：

https://github.com/aboul3la/Sublist3r  https://blog.csdn.net/m0_51468027/article/details/125734951 https://cloud.tencent.com/developer/article/1948254 https://www.f12bug.com/archives/dnslog%E5%B9%B3%E5%8F%B0%E6%90%AD%E5%BB%BA https://github.com/lanyi1998/DNSlog-GO/releases/tag/1.5.6https://zhuanlan.zhihu.com/p/540457671

原文始发于微信公众号（巢安实验室）：自建DNSlog服务器