内网渗透神器CobaltStrike之DNS Beacon(四)

已于 2023-08-21 21:35:07 修改
阅读量1.1k 收藏 5
点赞数 2
分类专栏: 红队的自我修养 文章标签: 渗透测试 攻防 web安全
于 2022-11-19 10:36:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/127933692
版权

DNS隧道简介

利用DNS隧道进行攻击的现象已存在多年,将数据封装在DNS协议中传输,大部分防火墙和入侵检测设备很少会过滤DNS流量,僵尸网络和入侵攻击可几乎无限制地加以利用,实现诸如远控、文件传输等操作

DNS隐蔽隧道建立通讯并盗取数据,可轻易绕过传统安全产品,使用特征技术难以检测。广为人知的渗透商业软件Cobalt Strike和开源软件iodine、DNScat2等亦提供了现成模块,可被快速轻易地利用。


DNS Beacon通信过程

1

  1. 目标主机要对域名123456.c1.henry666.xyz进行解析, 首先查询本地的hosts文件, 若没有返回则从本地DNS服务器查询
  2. 本地DNS服务器首先查询自己的本地缓存, 若没有则进行迭代查询, 会向根域名服务器发起询问, 问你知道123456.c1.henry666.xyz吗, 然而根域名服务器说"我不知道,但是.com服务器可能会知道"
  3. 本地DNS服务器去问.com服务器, .com服务器说:“我也不知道, henry666.xyz服务器知道”
  4. 本地DNS服务器去问henry666.xyz服务器, 它的回答是:“不知道,你去问c1.henry666.xyz服务器”
  5. 最终本地DNS服务器访问了c1.henry666.xyz的DNS服务器cs.henry666.xyz , 并查询到了123456.c1.henry666.xyz的响应值, 随后c1.henry666.xyz服务器将响应值返回给本地DNS服务器, 本地DNS服务器再返回给目标主机

DNS Beacon的类型

1.dns(传输数据小)

使用DNS的A记录作为通信通道,这种方式的通信速度会比较慢, 且传输数据也有限制

可在beacon命令行输入: mode dns 进行切换


2.dns_txt(传输数据大)

使用DNS的TXT记录作为通信通道, 这种传输方式的优点在于传输的数据量更加庞大, 在CS4.0及未来版本都只有DNS TXT记录这一选项

可在beacon命令行输入: mode dns-txt 进行切换


3.dns6

使用DNS的AAAA记录作为通信通道

可在beacon命令行输入: mode dns6 进行切换


操作步骤

1.设置域名解析

此处我的域名是在godaddy上购买的, 为henry666.xyz, 在DNS解析管理处设置域名解析, 新增一条A记录和NS记录

  • A记录: cs.henry666.xyz指向180.76.55.245
  • NS记录: c1.henry666.xyz指向cs.henry666.xyz

image-20221112103553589


2.vps开放udp协议的53端口

在云服务VPS的安全组的入站和出站都添加一组规则, 开放UDP协议的53端口, 这步骤十分重要

image-20221112105350522 image-20221112105353750


查看云服务器的53端口是否被占用: lsof -i:53, 发现被一个叫systemd-resolve的系统服务所占用, 关闭此服务: systemctl stop systemd-resolved

image-20221112112029736


3.CS创建监听

在CS客户端新建一个监听, Payload选择Beacon Dns, DNS Hosts和DNS Host(Stager)填写NS记录的域名, 至于DNS端口绑定处填不填都行, 这里我就没填了

很多文章喜欢在DNS Hosts(Stager)处填写A记录域名, 实际上这里只需在上面的DNS Hosts里随便挑一个填写就可以了

还有一点是, CS里的DNS Beacon默认类型是DNS-txt

image-20221112113848509


接下来验证一下新建的ns记录是否生效: nslookup c1.henry666.xyz, 有非权威应答代表ns记录生效

image-20221112114312959


4.CS创建后门

点击菜单栏的Attacks->Web-Drive-by->Scripted Web Delivery(S), 监听器选择刚刚创建的DNS, 生成带有执行后门程序的powershell代码, 并将此代码放到目标主机中执行

image-20221112115115984

image-20221112115627221


后门代码在目标主机执行成功后, CS会接收到反弹的Shell, 但默认情况下, 此主机图标显示是黑色的, 且无任何信息

这时就要在beacon命令行输入: checkin, 强制让目标主机回连CS服务器, 随后主机信息就会显现出来

image-20221112120007887


在beacon命令行输入: mode dns , 切换使用dns的a记录进行数据通信

1


5.派生HTTP Beacon

由于DNS隧道不适合传输过大的数据且传输速率慢,因此我们可以派生一个HTTP Beacon, 这样做的好处是加快了数据的传输速率, 即使http后门进程被目标系统关闭了, 也可以通过dns beacon继续创建后门进程

image-20221112163642960


抓包分析

首先查看目标主机的本地DNS服务器及IP, 在cmd命令行输入: ipconfig /all

image-20221112172251359


在目标主机打开wireshark进行抓包, 可发现本机向本地DNS服务器发送DNS协议A记录的数据包, 从上述的DNS Beacon通信过程中可知, 该数据包内容是目标主机向本地DNS服务器查询c1.henry666.xyz, 最终经过层层的迭代查询, 数据流向cs服务器

image-20221112172315015


参考文章

  • https://www.yisu.com/zixun/501167.html
  • https://www.codenong.com/cs106885517/
Henry404s
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Cobal_Strike踩坑记录-DNS Beacon1
08-03
Cobal_Strike踩坑记录-DNS Beacon1
Cobalt Strike 使用指南(资源整合笔记)
天在等我,菜鸟想飞
12-30 6847
0x00 写在前面的话 Cobalt Strike自出世以来,一直在红队常用的工具行列。因其优良的团队协作性,被冠以多人运动的必备利器。 本文将网络上各路神仙的经验分享以渗透流程为依据进行了一次整合,旨在提供工具的学习使用流程。 1、工具介绍 CS是什么? Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成
Cobalt Strike DNS Beacon 的使用与原理
yyj1781572的博客
11-17 662
Cobalt Strike DNS Beacon 的使用与原理
Cobaltstrike DNS 隐蔽隧道
LuckySec
02-16 2301
0x01 DNS 隧道攻击 DNS协议是一种请求应答协议,也是一种可用于应用层的隧道技术。虽然DNS流量的异常变化可能会被发现,但是在基于传统socket隧道已经濒临淘汰,TCP、UDP通信大量被安全设备拦截的大背景下,DNS、ICMP、HTTP/HTTPS等难以禁用的协议已经成为攻击者使用隧道的主流选择。DNS隐蔽隧道基于互联网不可或缺的DNS基础协议,天然具备穿透性强的优势,是恶意团伙穿透安全防护的一把利器。 0x02 DNS Beacon Cobalt Strike 提供了现成利用模块,DNS Be
修改bind搭建的dns服务器监听端口地址为网卡地址
志远的博客
08-15 7819
系统环境:centos-6.5 安装好bind以后; vim /etc/named.conf,查看,这里只监听端口默认只配置了本地回环地址127.0.0.1(见下图红色框) netstat -tunlp,查看地址和监听情况,发现只有回环地址地址的53端口有监听,没有出现网卡地址的53端口监听,见下图 vim  /etc/named.conf,修改该文件,
DNS详细解析
qq_51010919的博客
07-15 3955
CDN(内容分发网络)是一种通过分布在全球不同地点的服务器来提供高效内容交付的网络架构。它的目标是将内容(如网页、图片、视频等)快速传送给用户,提供更好的用户体验。CDN的工作原理如下:原始服务器:网站的内容首先存储在原始服务器上,这是内容的源头。边缘服务器:CDN网络由多个位于全球各地的边缘服务器组成。这些服务器分布在离用户较近的位置,通常位于不同的城市或国家。负载均衡和缓存:当用户发起请求访问网站时,CDN会通过负载均衡算法将请求路由到最接近用户的边缘服务器。
Cobalt Strike(三)DNS beacon 的使用与原理
qq_56426046的博客
09-19 1225
dns木马因为隐蔽性好,在受害者不会开放任何端口 可以规避防火墙协议,走的是53端口 (服务器),防火墙不会拦截,缺点响应慢。
150.网络安全渗透测试—[Cobalt Strike系列]—[DNS Beacon原理/实战测试]
qwsn
03-22 1955
一、DNS Beacon原理 1、DNS Beacon简介 2、DSN Beacon工作原理 二、DNS Beacon实战测试 1、实战测试前提 2、实战测试过程
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS)
weixin_43263566的博客
01-11 1万+
渗透测试之基本的攻击流程
DNS隧道工具之渗透神器』— cobalt strike
localhost01
02-01 7816
一、入坑必读 着重说明:该工具的定位,是一个后渗透协同APT工具,主要用于内网的渗透测试和作为apt的终端控制。它不是一个单纯的DNS隧道工具,把它放在此处讲,只是因为它也支持DNS隧道功能而已,所以下文也只会讲讲它的DNS隧道能力! 1、简介 cobalt strike(以下简称CS)作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为容易的控制终端功能,使其变成众多APT组织的首选。......
geacon:练习Go编程并在Go中实现CobaltStrikeBeacon
03-21
如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用怎么玩设置团队服务器并启动http许可,团队服务器将生成文件.cobaltstrike.beacon_keys 。使用Jetbrains Idea编译BeaconTool,使用命令java -...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
CobaltStrike(beacon.dll)样本.zip
10-18
老版本的CobaltStrike样本,C2已经失去活性。
Cobalt_Strike_beacon免杀上线Powershell1
08-03
第一步,创建监听器,并用对应的监听器生成的 "Powershell payload " 第二步,回到本地机器上,先准备好一张大点的图片,比如随便去找一张"192
Cobalt Strike DNS Beacon使用
最新发布
2301_80127209的博客
05-07 732
大家好,我是掌控安全-念旧,今天教大家使用Cobalt Strike建立DNS隧道需要隐蔽性需要绕过限制性网络(例如防火墙)不需要很快的响应速度响应速度慢(假设,你执行一个whoami,几分钟后才会响应回显结果,这可能会使人抓狂),和打游戏的时候 网太卡是一个道理一种“偷渡”技术,隐蔽性好,在受害主机上不会开放任何端口,可以规避防火墙,并在具有限制性出口控制的网络中建立C2通道DNS隧道的优点DNS隧道的缺点DNS隧道的适用场景。
2024年网安最新使用DNSObserver检测DNS安全漏洞_dns组件安全扫描(1)
2401_84253037的博客
05-03 925
DNSObserver是个功能强大的DNS服务,该工具使用Go语言开发,可以帮助广大研究人员轻松检测各种类型的盲注漏洞。它可以监控渗透测试人员所搭建服务器的带外DNS交互信息,并通过Slack发送查询通知。DNSObserver可以帮助我们寻找的漏洞包括操作系统给盲注漏洞、SQL盲注漏洞和XXE盲注漏洞等等。注册一个自己的域名;搭建一台虚拟专用服务器来运行脚本(我们使用的是Ubuntu,而且还没有在其他系统上进行过测试);你自己的Slack工作空间和一个Webhook;域名和DNS配置。
F5 GTM DNS 知识点和实验 3 -加速dns解析
cnxhsy的博客
02-17 3721
第三章:加速dns解析 目标: 了解一个请求是如何发送到一个dns资源池中的,并且了解如何监控资源池中成员的健康状态 使用dns缓存对dns请求进行加速 使用dns express进行对dns请求进行加速 智能解析dns请求 加速解析(dns express,dns cache,load balance dns queries) 配置监听器 3.1、Big-IP DNS解析过程 wide ip dns express dns cache dns resolving cache
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
Cobaltstrike dns上线 (观察流量)
时光凉春衫薄的博客
12-09 5313
今天做了一个cs-dns的上线过程,发现这个上限的方式还是挺隐蔽的。通过ip查询起来的话很难被追溯到。所有的流量全部是通过dns端口来做控制的。 首先通过exe的木马确保上限 然后在被控端端开启wireshark 随后在控制端下一个命令 下面是我在下达命令之后的一个完整流量截图,其中像这种txt api.xxx post.xxxx之类的都是cs在传输数据的特征。 这个图片其实不大,但是用dns的端口去用来传输数据的话这个就很慢了 流量差不多这个地方才结束吧。截取桌面的这个动作差...
cobaltstrike工具栏
09-14
Cobalt Strike是一款流行的渗透测试工具,它提供了丰富的功能和模块来进行红队行动。Cobalt Strike工具栏是Cobalt Strike桌面应用程序的一部分,它位于主界面的顶部。 Cobalt Strike工具栏包含了许多常用的功能按钮和工具,以帮助用户进行渗透测试攻击模拟。这些功能按钮包括: 1. Beacons:用于管理已经植入目标系统的Cobalt Strike Beacon代理的控制台。 2. Armitage:一个图形化的网络攻击管理器,可以用于目标感知和攻击协作。 3. Cobalt StrikeCobalt Strike桌面应用程序的设置和控制面板。 4. Malleable C2:用于自定义Cobalt Strike的网络流量特征,使其在网络上更不易被检测。 5. Team Server:用于启动和管理Cobalt Strike团队服务器,以协调和扩展多个渗透测试人员的行动。 6. Scripts:用于执行和管理Cobalt Strike脚本。 7. Help:提供Cobalt Strike相关文档和帮助资源。 除了工具栏上的按钮,Cobalt Strike还提供了许多其他功能,如端口转发、凭证收集、漏洞利用、数据渗透和命令执行等。通过这些功能,渗透测试人员可以模拟真实的攻击场景,评估目标系统的安全性,并提供建议和解决方案来加固系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值