DNS 重绑定
(1)基本概念
DNS 重绑定(DNS Rebinding)是一种利用 DNS 解析机制的缺陷,绕过浏览器 “同源策略” 或服务器 “IP 过滤”,实现对目标主机(如客户端本地、服务器内网)访问的攻击技术。其核心是通过控制 DNS 服务器,让同一域名在短时间内解析到不同的 IP 地址。
(2)DNS重绑定绕过
常规 SSRF 防御中,服务器会过滤127.0.0.1、内网 IP 等敏感地址,但攻击者可通过 DNS 重绑定绕过该限制:
攻击者构造恶意域名(如rebind.example.com),让其先解析为 “允许访问的公网 IP”(通过服务器的 IP 过滤);
服务器发起请求时,DNS 将该域名重新解析为 “敏感 IP”(如127.0.0.1或192.168.1.100);
服务器最终访问敏感 IP,实现 SSRF 攻击,此时常规的 “IP 过滤” 防御失效(因服务器校验的是第一次解析的 IP)
(3)工作原理
攻击者完全控制一个域名(例如 evil.com)的 DNS 服务器。他可以进行如下配置:
设置极短的 TTL (Time-To-Live):例如 0 秒或几秒,告诉解析器不要缓存记录,每次都重新查询。
配置两条 A 记录:
第一次查询:返回一个合法的、受攻击者控制的公网 IP(例如 1.2.3.4)。这一步是为了通过应用程序的“白名单/黑名单”校验。
第二次查询:返回一个目标内网 IP(例如 192.168.1.1)。这一步是真正的攻击
绕过安全限制:
对浏览器:利用 “同源策略” 仅校验域名不校验 IP 的特性,让脚本先通过公网 IP 加载,再通过 DNS 切换解析到目标 IP,实现对本地 / 内网服务的访问;
对服务器:若服务器仅校验 “域名是否合法” 或 “首次解析的 IP”,则切换后的目标 IP 会被服务器默认访问,绕过 IP 过滤。
实战:
(1)网页工具:(1)配置DNS重绑定
打开 rebinder.html 页面,访问如下网址,配置DNS重绑定。
https://lock.cmpxchg8b.com/rebinder.html
如上所示A对应的IP地址就是要绕过的IP地址,本关卡需要写为127.0.0.1,对于B的ip地址,随即填一个的IP地址即可,这里使用默认的192.168.0.1。通过修该域名对应的IP,使一个域名对应两个IP,那么在多次的访问之下产生的访问效果是一样的实现IP绕过。
(2)生成域名如下:
7f000001.c0a80001.rbndr.us
(3)尝试命令行ping这个域名7f000001.c0a80001.rbndr.us,如下所示,符合DNS重绑定的需求,在两个ip地址192.168.0.1和127.0.0.1之间切换。
(4)利用DNS重绑定获取flag
使用生成的域名构造Payload:/?url=7f000001.c0a80001.rbndr.us/flag.php
注意:这里不用/?url=http://,直接写就行了
注:里推荐使用burpsuite的intruder模块,来批量发送请求,以利用时间差完成ssrf
