53 - DNS

PORT   STATE SERVICE
53/udp open  domain
53/tcp open  domain

# 查询 A 记录
nslookup example.com <DNS_IP>
dig @<DNS_IP> example.com A

# 查询 MX 记录
dig @<DNS_IP> example.com MX

# 查询 TXT 记录
dig @<DNS_IP> example.com TXT

# 反向查询
dig @<DNS_IP> -x 8.8.8.8

# 尝试区域传输
dig @<DNS_IP> example.com AXFR
host -t axfr example.com <DNS_IP>

# 使用 Nmap
nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=example.com -p 53 <DNS_IP>

# dnsenum
dnsenum --dnsserver <DNS_IP> --enum -p 0 -s 0 -o subdomains.txt -f subdomains-1000.txt example.com

# dnsrecon
dnsrecon -D subdomains-1000.txt -d example.com -n <DNS_IP>

# dnscan (递归爆破)
dnscan -d example.com -r -w subdomains-1000.txt

# dnsrecon 反向枚举
dnsrecon -r 192.168.1.0/24 -n <DNS_IP>

# reverse-scan 工具
# https://github.com/amine7536/reverse-scan

# 查询 AD 相关记录
dig -t _gc._tcp.lab.domain.com
dig -t _ldap._tcp.lab.domain.com
dig -t _kerberos._tcp.lab.domain.com

# nslookup
nslookup -type=srv _kerberos._tcp.domain.com

# 攻击者伪造 DNS 响应
# 将恶意 IP 注入 DNS 缓存

# 使用 DNS 协议传输数据
dnscat2
iodine

# 如果 DNS 递归开启，可能被用于放大攻击
# 检查递归是否开启
dig google.com A @<DNS_IP>
# 查看响应中是否有 "ra" (recursion available) 标志

# 使用 NSEC 记录枚举子域名
nmap -sSU -p53 --script dns-nsec-enum \
  --script-args dns-nsec-enum.domains=example.com \
  <DNS_IP>

# FOFA 搜索语法
port="53" && protocol="dns"
port="53" && service="dns"
app="BIND"
app="PowerDNS"

# Shodan 搜索语法
port:53 dns
port:53 product:"BIND"
port:53 product:"PowerDNS"

# ZoomEye 搜索语法
port:53 service:dns
app:"BIND"
app:"PowerDNS"