内网渗透神器CobaltStrike之DNS Beacon(四)

已于 2023-08-21 21:35:07 修改
阅读量1.5k 收藏 5
点赞数 2
分类专栏: 红队的自我修养 文章标签: 渗透测试 攻防 web安全
于 2022-11-19 10:36:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/127933692
版权

DNS隧道简介

利用DNS隧道进行攻击的现象已存在多年,将数据封装在DNS协议中传输,大部分防火墙和入侵检测设备很少会过滤DNS流量,僵尸网络和入侵攻击可几乎无限制地加以利用,实现诸如远控、文件传输等操作

DNS隐蔽隧道建立通讯并盗取数据,可轻易绕过传统安全产品,使用特征技术难以检测。广为人知的渗透商业软件Cobalt Strike和开源软件iodine、DNScat2等亦提供了现成模块,可被快速轻易地利用。


DNS Beacon通信过程

1

  1. 目标主机要对域名123456.c1.henry666.xyz进行解析, 首先查询本地的hosts文件, 若没有返回则从本地DNS服务器查询
  2. 本地DNS服务器首先查询自己的本地缓存, 若没有则进行迭代查询, 会向根域名服务器发起询问, 问你知道123456.c1.henry666.xyz吗, 然而根域名服务器说"我不知道,但是.com服务器可能会知道"
  3. 本地DNS服务器去问.com服务器, .com服务器说:“我也不知道, henry666.xyz服务器知道”
  4. 本地DNS服务器去问henry666.xyz服务器, 它的回答是:“不知道,你去问c1.henry666.xyz服务器”
  5. 最终本地DNS服务器访问了c1.henry666.xyz的DNS服务器cs.henry666.xyz , 并查询到了123456.c1.henry666.xyz的响应值, 随后c1.henry666.xyz服务器将响应值返回给本地DNS服务器, 本地DNS服务器再返回给目标主机

DNS Beacon的类型

1.dns(传输数据小)

使用DNS的A记录作为通信通道,这种方式的通信速度会比较慢, 且传输数据也有限制

可在beacon命令行输入: mode dns 进行切换


2.dns_txt(传输数据大)

使用DNS的TXT记录作为通信通道, 这种传输方式的优点在于传输的数据量更加庞大, 在CS4.0及未来版本都只有DNS TXT记录这一选项

可在beacon命令行输入: mode dns-txt 进行切换


3.dns6

使用DNS的AAAA记录作为通信通道

可在beacon命令行输入: mode dns6 进行切换


操作步骤

1.设置域名解析

此处我的域名是在godaddy上购买的, 为henry666.xyz, 在DNS解析管理处设置域名解析, 新增一条A记录和NS记录

  • A记录: cs.henry666.xyz指向180.76.55.245
  • NS记录: c1.henry666.xyz指向cs.henry666.xyz

image-20221112103553589


2.vps开放udp协议的53端口

在云服务VPS的安全组的入站和出站都添加一组规则, 开放UDP协议的53端口, 这步骤十分重要

image-20221112105350522 image-20221112105353750


查看云服务器的53端口是否被占用: lsof -i:53, 发现被一个叫systemd-resolve的系统服务所占用, 关闭此服务: systemctl stop systemd-resolved

image-20221112112029736


3.CS创建监听

在CS客户端新建一个监听, Payload选择Beacon Dns, DNS Hosts和DNS Host(Stager)填写NS记录的域名, 至于DNS端口绑定处填不填都行, 这里我就没填了

很多文章喜欢在DNS Hosts(Stager)处填写A记录域名, 实际上这里只需在上面的DNS Hosts里随便挑一个填写就可以了

还有一点是, CS里的DNS Beacon默认类型是DNS-txt

image-20221112113848509


接下来验证一下新建的ns记录是否生效: nslookup c1.henry666.xyz, 有非权威应答代表ns记录生效

image-20221112114312959


4.CS创建后门

点击菜单栏的Attacks->Web-Drive-by->Scripted Web Delivery(S), 监听器选择刚刚创建的DNS, 生成带有执行后门程序的powershell代码, 并将此代码放到目标主机中执行

image-20221112115115984

image-20221112115627221


后门代码在目标主机执行成功后, CS会接收到反弹的Shell, 但默认情况下, 此主机图标显示是黑色的, 且无任何信息

这时就要在beacon命令行输入: checkin, 强制让目标主机回连CS服务器, 随后主机信息就会显现出来

image-20221112120007887


在beacon命令行输入: mode dns , 切换使用dns的a记录进行数据通信

1


5.派生HTTP Beacon

由于DNS隧道不适合传输过大的数据且传输速率慢,因此我们可以派生一个HTTP Beacon, 这样做的好处是加快了数据的传输速率, 即使http后门进程被目标系统关闭了, 也可以通过dns beacon继续创建后门进程

image-20221112163642960


抓包分析

首先查看目标主机的本地DNS服务器及IP, 在cmd命令行输入: ipconfig /all

image-20221112172251359


在目标主机打开wireshark进行抓包, 可发现本机向本地DNS服务器发送DNS协议A记录的数据包, 从上述的DNS Beacon通信过程中可知, 该数据包内容是目标主机向本地DNS服务器查询c1.henry666.xyz, 最终经过层层的迭代查询, 数据流向cs服务器

image-20221112172315015


参考文章

  • https://www.yisu.com/zixun/501167.html
  • https://www.codenong.com/cs106885517/
Henry404s
关注
专栏目录
CobaltStrikeDNS beacon
问题很多的小明
05-29 3015
DNS beacon 实际意义:红蓝对抗中,可以通过DNS的方式通信,流量更加隐秘,躲避agent/DLP的检测,实现相对隐秘的渗透方式。 环境需要: CobaltStrike + 域名 1 域名解析配置 解析过程如下: 第一步:ns1.xxxxx.com-----ns------>ns.xxxxxx.com 第二部:ns.xxxxx.com------A------->VPS地址 2 CS配置 注意:VPS防火墙53端口一定要开启 解析如下: mac:执行命令 dig +trace ns1
APT组织最喜欢的工具 Cobalt Strike (CS) 实战
悦分享
08-03 2285
Cobalt Strike是一款以Metasploit为基础的GUI框架式渗透测试工具,自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,常被业界人称为CS神器Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。...
150.网络安全渗透测试—[Cobalt Strike系列]—[DNS Beacon原理/实战测试]
qwsn
03-22 2370
一、DNS Beacon原理 1、DNS Beacon简介 2、DSN Beacon工作原理 二、DNS Beacon实战测试 1、实战测试前提 2、实战测试过程
Cobalt Strike(三)DNS beacon 的使用与原理
qq_56426046的博客
09-19 1401
dns木马因为隐蔽性好,在受害者不会开放任何端口 可以规避防火墙协议,走的是53端口 (服务器),防火墙不会拦截,缺点响应慢。
Cobalt Strike DNS Beacon使用
最新发布
2301_80127209的博客
05-07 952
大家好,我是掌控安全-念旧,今天教大家使用Cobalt Strike建立DNS隧道需要隐蔽性需要绕过限制性网络(例如防火墙)不需要很快的响应速度响应速度慢(假设,你执行一个whoami,几分钟后才会响应回显结果,这可能会使人抓狂),和打游戏的时候 网太卡是一个道理一种“偷渡”技术,隐蔽性好,在受害主机上不会开放任何端口,可以规避防火墙,并在具有限制性出口控制的网络中建立C2通道DNS隧道的优点DNS隧道的缺点DNS隧道的适用场景。
Cobalt Strike DNS Beacon 的使用与原理
yyj1781572的博客
11-17 795
Cobalt Strike DNS Beacon 的使用与原理
Cobaltstrike dns上线 (观察流量)
时光凉春衫薄的博客
12-09 5453
今天做了一个cs-dns的上线过程,发现这个上限的方式还是挺隐蔽的。通过ip查询起来的话很难被追溯到。所有的流量全部是通过dns端口来做控制的。 首先通过exe的木马确保上限 然后在被控端端开启wireshark 随后在控制端下一个命令 下面是我在下达命令之后的一个完整流量截图,其中像这种txt api.xxx post.xxxx之类的都是cs在传输数据的特征。 这个图片其实不大,但是用dns的端口去用来传输数据的话这个就很慢了 流量差不多这个地方才结束吧。截取桌面的这个动作差...
内网神器cobaltstrike使用教程
hackzkaq的博客
11-17 7934
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 一、安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver.bat teamserver.bat 1.1.1.1 123456 linux 需要有足够权限,可以通过chmod +x teamserver 来提高权限 ./tea
cobaltstrike安装使用
w7deer的博客
05-06 5819
Cobalt Strike是一款基于java的渗透测试神器,被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马、win dll木马、java木马、office宏病毒等,钓鱼攻击包括:站点克隆,目标信息获取等
Kali [CobaltStrike]CS神器
weixin_45253622的博客
03-24 7570
CobaltStrike的使用 CobaltStrike是一款渗透测试神器,被业界人称为CS神器CobaltSitrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 CobaliStrike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,windows exe木马生成,windows dll木马生成,java木马生成,office宏病毒生成,木马捆绑。钓鱼攻击包括:站点克隆,目标信息获取,java 执行,浏览器自动攻击等等强大的功能! ......
Cobalt StrikeDNS隐蔽隧道的利用,以及使用DLP进行检测.pdf
03-02
现在,无论是开源或者商业套装渗透软件的应用已经得到普及。虽然目前各大安全技术网站有很多入门文章,但来源多为境外翻译加入译者想象,且有不少内容错误凸显译者缺乏实际操作经验。同时,如何利用市面现有产品实施检测的指导文章也凤毛麟角。因此,笔者计划编写系列教程,介绍演示常见外部入侵和内部威胁的手段、战术、以及工具,并给出使用现有成熟产品进行检测和响应的实际方法。
Cobal_Strike踩坑记录-DNS Beacon1
08-03
Cobal_Strike踩坑记录-DNS Beacon1
巨龙拉冬:让你的Cobalt Strike变成超级武器
K8哥哥
10-24 4694
Cobalt Strike巨龙拉冬插件9.0发布,让大家久等了,就当是程序员节礼物。原计划是Ladon8.0的时候出的,当时也实现了部份功能,但因为放在虚拟机里,可能误删了没备份,也因为各种事懒得重写,拖着拖着Ladon已出到9.0了,也想国庆写,但国庆又想上王者,于是又拖到最近两天才重写插件,CS右键已实现90%的功能部分功能请先在Beacon命令行使用。巨龙拉冬中文插件和Ladon英文插件的区别是右键菜单功能更全,英文的菜单让很多不熟的人,误以为Ladon并没让CS加强多少功能,而有些知道Ladon功.
Cobaltstrike DNS 隐蔽隧道
LuckySec
02-16 2431
0x01 DNS 隧道攻击 DNS协议是一种请求应答协议,也是一种可用于应用层的隧道技术。虽然DNS流量的异常变化可能会被发现,但是在基于传统socket隧道已经濒临淘汰,TCP、UDP通信大量被安全设备拦截的大背景下,DNS、ICMP、HTTP/HTTPS等难以禁用的协议已经成为攻击者使用隧道的主流选择。DNS隐蔽隧道基于互联网不可或缺的DNS基础协议,天然具备穿透性强的优势,是恶意团伙穿透安全防护的一把利器。 0x02 DNS Beacon Cobalt Strike 提供了现成利用模块,DNS Be
DNS隧道工具之渗透神器』— cobalt strike
localhost01
02-01 7923
一、入坑必读 着重说明:该工具的定位,是一个后渗透协同APT工具,主要用于内网的渗透测试和作为apt的终端控制。它不是一个单纯的DNS隧道工具,把它放在此处讲,只是因为它也支持DNS隧道功能而已,所以下文也只会讲讲它的DNS隧道能力! 1、简介 cobalt strike(以下简称CS)作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为容易的控制终端功能,使其变成众多APT组织的首选。......
cobalt skrike DNS Beacon
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 1249
cobalt skrike DNS Beacon
cobaltstrike dns上线_Cobalt Strike备忘录环境搭建与基本功能
weixin_39830175的博客
11-30 778
0x00 简介CobaltStrike是一款常用于后渗透的神器,这个工具以团队作为主体,共享信息,拥有多种协议上线方式,集成了端口转发,端口扫描,socket代理,提权,钓鱼等。除去自身功能外,CobaltStrike还利用了Metasploit和Mimikatz等其他知名工具的功能。0x01 Cobalt Strike 架构文件结构│ agscript 拓展应用的脚本│ c2l...
(非同人文)Cobalt Strike DNS Beacon上线
daxi0ng的博客
01-18 1481
同人文太多,就写一下我实际操作DNS上线CS的步骤。 1、准备我的阿里云域名,设置DNS解析如下。(注意:VPS 的 53 端口一定要开放) 第一条 NS 解析是在告诉域名系统,想要知道 ns1.daxi0ng.com 的 IP 地址,就去问 cs.daxi0ng.com 。 第二条 A 类解析是在告诉域名系统,cs.daxi0ng.com 的 IP 地址是 47.xx.xx.112。 如何验证域名解析设置是否成功? 在随便一台电脑上 ping 域名 cs.daxi0ng.com ,若能 p.
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
Cobalt strike DNS beacon攻击如何复现
04-29
Cobalt Strike 是一款常用的渗透测试工具,其中 DNS Beacon 是其常用的 C2 通信方式之一。下面是复现 Cobalt Strike DNS Beacon 攻击的步骤: 1. 准备 Cobalt Strike 客户端和服务器。你可以在官网上购买或试用 Cobalt Strike。 2. 配置 Cobalt Strike 服务器和客户端之间的通信,确保客户端能够连接上服务器。 3. 在 Cobalt Strike 客户端上生成 DNS Beacon payload,命令如下: `beacon_dns_config msftncsi.com 60 172.16.0.10` 其中,msftncsi.com 是被伪装的域名,60 是 DNS Beacon 的间隔时间,172.16.0.10 是 Cobalt Strike 服务器的 IP 地址。 4. 将生成的 payload 发送给目标主机。可以使用社会工程学手段,比如钓鱼邮件、社交媒体等方式。 5. 在 Cobalt Strike 服务器上,等待 DNS Beacon 回连。可以使用以下命令查看 Beacon 是否已连接: `beacons` 6. 如果 Beacon 已连接,可以使用以下命令与其进行交互: `beacon <beacon_id>` 其中,<beacon_id> 是 Beacon 的 ID。 7. 在 Beacon 交互界面,可以使用多种命令执行后续操作,比如获取系统信息、下载文件、执行命令等。 需要注意的是,使用 Cobalt Strike 进行攻击可能会涉及到法律问题,请务必遵守相关法规。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值