基于dnscat2的DNS隧道研究

信息安全不简单鸭2024-04-16 18:04:17  84

最近准备研究一下DNS隧道,网上的案例比较多,总的来说都需要花钱,毕竟域名+vps服务器,都是真金白银,为了做这个实验,我也是花了200块钱。一般来说,dns隧道有2种:直连和迭代。直连的dns隧道,就是你自己要有一台外网dns服务器,比如基于bind9搭建一个dns服务器,这种模式容易造成C&C(DNS)服务器的地址泄漏,现在基本上没人用了。迭代模式,可以依靠任意一台dns服务,然后依靠NS记录和A记录,实际上伪造了一个dns服务器,也就是C&C服务器,这种模式比较流行。然而,针对这种dns隧道,还是很好检测的,因为会产生大量的dns请求,而且子域名各不相同。centos 7 新环境先安装扩展工具包,可以方便后续安装。

sudo yum group install "Development Tools"

在虚拟机中进行DNS隧道实验,需求如下:

在resellerclub 申请域名(1年100块钱)

在resellerclub域名管理中配置NS和A记录

自备centos虚拟机,作为bot主机

申请 vps 服务器(一个月120块钱)

在vps上搭建centos 7 并配置编译环境(有少部分坑)

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

步骤一:在A记录里面添加C&C服务器(c2.hackbiji.top)的IP地址

步骤二:在NS记录里面添加一条记录,表示任意僵尸域名(bot.hackbiji.top)都由C&C服务器解析

步骤三:在vps服务器上启动dnscat2服务端

关于如何避坑,dnscat2已经在github上指明了方向[1]

步骤四:在bot主机上启动dnscat2客户端

步骤五:在dnscat2的服务端,输入windows,观察,如下所示:

输入 session -i 1 进入隧道,如下图所示:

输入shell,产生新的会话2,ctr + Z 退出会话1,session - i 2 进入会话2

这个时候就可以输入我们熟悉的shell 命令了,比如whoami,ifconfig等 ,如下图所示:

步骤六:使用wireshark抓包分析

在客户端上进行抓包,过滤dns域名包含bot.hackbiji.top,如下图所示:

参考

^dnscat2 相关介绍 https://github.com/iagox86/dnscat2

转载此文是出于传递更多信息目的。若来源标注错误或侵犯了您的合法权益,请与本站联系,我们将及时更正、删除、谢谢。
https://www.414w.com/read/245948.html
0
最新回复(0)