FOOTHOLD Metodoloji Cheat-sheet
53

DNS

genel

DNS enumeration: zone transfer (AXFR), reverse lookups, subdomain brute, and record harvesting. Misconfigured AXFR leaks the entire zone (hostnames, internal IPs, services).

┌──

Komutlar

nmap ✓ EXAM-SAFE
nmap -p 53 -sV -sU -sT {{RHOST}}
DNS servisini hem TCP hem UDP/53 üzerinde tespit et ve versiyon banner'ı al. HackTricks — Pentesting DNS
nmap ✓ EXAM-SAFE
nmap -p 53 --script dns-nsid,dns-recursion,dns-zone-transfer --script-args dns-zone-transfer.domain={{DOMAIN}} {{RHOST}}
NSE ile zone transfer, recursion ve NSID kontrolü (DOMAIN bilinmiyorsa önce reverse/banner'dan çıkar). HackTricks — Pentesting DNS
dig ✓ EXAM-SAFE
dig axfr {{DOMAIN}} @{{RHOST}}
Zone transfer (AXFR) dene — başarılıysa tüm zone kayıtları (A/CNAME/MX/NS/TXT) döner, iç ağ haritası açığa çıkar. HackTricks — Pentesting DNS
dig ✓ EXAM-SAFE
dig any {{DOMAIN}} @{{RHOST}}
ANY sorgusu ile sunucunun verdiği tüm kayıt tiplerini topla (SOA, NS, MX, TXT). HackTricks — Pentesting DNS
dig ✓ EXAM-SAFE
dig ns {{DOMAIN}} @{{RHOST}} +short
Name server kayıtlarını listele — her NS'e ayrı ayrı AXFR denemek için hedef listesi. HackTricks — Pentesting DNS
dig ✓ EXAM-SAFE
dig -x {{RHOST}} @{{RHOST}}
Reverse DNS (PTR) lookup ile IP'ye karşılık gelen hostname'i bul, DOMAIN'i keşfet. HackTricks — Pentesting DNS
host ✓ EXAM-SAFE
host -l {{DOMAIN}} {{RHOST}}
host aracı ile hızlı zone transfer denemesi (AXFR list). HackTricks — Pentesting DNS
dnsrecon ✓ EXAM-SAFE
dnsrecon -d {{DOMAIN}} -n {{RHOST}} -t axfr
dnsrecon ile belirtilen name server üzerinde otomatik zone transfer denemesi. HackTricks — Pentesting DNS
dnsrecon ✓ EXAM-SAFE
dnsrecon -d {{DOMAIN}} -n {{RHOST}} -D {{WORDLIST}} -t brt
Subdomain brute-force (wordlist tabanlı) ile gizli hostları keşfet. HackTricks — Pentesting DNS
dnsenum ✓ EXAM-SAFE
dnsenum --dnsserver {{RHOST}} --enum -f {{WORDLIST}} {{DOMAIN}}
dnsenum ile zone transfer + subdomain brute + reverse lookup tek komutta. PWK/OSCP — DNS Enumeration
gobuster ✓ EXAM-SAFE
gobuster dns -d {{DOMAIN}} -r {{RHOST}} -w {{WORDLIST}}
gobuster dns modu ile hedef resolver kullanarak subdomain brute-force. HackTricks — Pentesting DNS
nslookup ✓ EXAM-SAFE
nslookup -type=txt {{DOMAIN}} {{RHOST}}
TXT kayıtlarını çek (SPF/DKIM, doğrulama tokenları, bazen iç bilgi sızıntısı). HackTricks — Pentesting DNS

Genel Bakış

DNS (TCP/UDP 53) çoğu zaman dış kapsamda küçümsenir ama yanlış yapılandırılmış bir zone transfer (AXFR) tüm zone’u (hostname, iç IP, alt domain, servis kayıtları) tek komutla sızdırır. Active Directory ortamlarında DC genellikle DNS sunucusudur, bu yüzden 53 portu DOMAIN ve DC keşfi için kritik.

Enumeration

  • Önce nmap ile hem TCP hem UDP/53 tara; banner’dan BIND versiyonu veya Microsoft DNS tespit edebilirsin.
  • DOMAIN bilinmiyorsa reverse lookup (dig -x) veya SOA/NS sorgusu ile domain adını çıkar — AXFR için domain adı şart.
  • NS kayıtlarını topla ve her name server’a ayrı ayrı AXFR dene; çoğu zaman secondary NS yanlış yapılandırılmıştır.

Zone Transfer (AXFR)

AXFR’ın çalışması demek tüm A/CNAME/MX/SRV kayıtlarını görmen demektir. AD’de _ldap._tcp, _kerberos._tcp gibi SRV kayıtları DC ve servis konumunu açığa çıkarır. Başarısız olursa subdomain brute-force’a geç.

Subdomain / Record Brute

AXFR kapalıysa dnsrecon, dnsenum veya gobuster dns ile wordlist tabanlı brute yap. TXT kayıtları (SPF, doğrulama tokenları) bazen iç altyapı ipuçları verir.

Pivot / Loot Notları

  • Bulduğun iç hostname’leri /etc/hosts dosyana ekle — vhost tabanlı web uygulamaları ve TLS SNI için gerekli.
  • AD ortamında DNS=DC ise DC_IP olarak işaretle ve LDAP/Kerberos/SMB enumeration’a yönel.
  • [UNVERIFIED] Eski BIND sürümlerinde uzaktan kod çalıştırma CVE’leri olabilir; versiyonu doğrulayıp arama yap, otomatik exploit’ten kaçın.
┌──

İlgili teknikler

Linux PrivEsc Enumeration Metodolojisi (linpeas / LinEnum / pspy / Manuel Checklist)
┌──

Kaynaklar

↗ HackTricks — Pentesting DNSPWK/OSCP — DNS Enumeration↗ HackTricks — 53 - Pentesting DNS (dnsrecon/dnsenum)
0/15 set