【渗透测试】CS DNS上线(DoH隧道技术实践浅析)

Dns Over Https

一、准备工作

1)域名
2)vps(53端口打开)
3)cobalt strike 4.0

二、域名设置

1)设置解析

记录类型:
A:用来指定域名的IPv4地址(如:8.8.8.8),如果需要将域名指向一个IP地址,就需要添加A记录。
在这里插入图片描述

NS:域名服务器记录,如果需要把子域名交给其他DNS服务商解析,就需要添加NS记录。
在这里插入图片描述

A记录设置成vps的ip,cs也配置在vps上

域名是suxxxat.site,绑定vps的ip
在这里插入图片描述

配置几个ns记录
配置完成之后ping www.suxxxcat.site 可以ping通
在这里插入图片描述

防火墙(安全组)开放DUP端口53
在这里插入图片描述

停掉vps的53端口服务
在这里插入图片描述

lsof -i:53查看53端口占用
出现的进程全部kill掉
在这里插入图片描述

2)设置cs
cs设置监听
改用cs4.0尝试
生成监听器
在这里插入图片描述
在这里插入图片描述

3)nslookup查看
在这里插入图片描述

自己测试的时候没有显示address:0.0.0.0

三、cs上线

生成cs的上线马,执行上线
在这里插入图片描述

上线之后是黑框,需要执行checkin,过一会正常
执行whoami命令成功
在这里插入图片描述

【捕捉到流量数据】
在这里插入图片描述
在这里插入图片描述

四、DNS over Https

1、安装工具TitanLdr
项目地址:https://github.com/kyleavery/TitanLdr

TitanLdr工具使用C编写,需要编译才能使用(一般步骤,没有成功)
下载TitanLdr工具
$apt-get install gcc-mingw-w64 【不成功请科学上网】
$cd TitanLdr-master
$make

2、编译(实际操作过程-踩坑记录)
1)gcc-mingw-w64和gcc安装
2)NASM安装
3)python3.8安装
4)make编译

1)gcc-mingw-w64安装失败,使用aws主机可以安装成功(香港主机自带翻墙属性)
$sudo apt install gcc-mingw-w64
$sudo apt insatll gcc
在这里插入图片描述
在这里插入图片描述

2)安装NASM(汇编环境搭建)
https://www.nasm.us/pub/nasm/releasebuilds/2.14.02/nasm-2.14.02.tar.gz
下载nasm
$./configure
$make
$sudo make install
安装完成之后
$nasm –version
在这里插入图片描述

3)安装python3.8并且配置好pip

4)make编译
进入TitanLdr目录下make【过程报错python缺少的库文件pip挨个下载补上】
在这里插入图片描述

3、CS上线
1)cs安装TitanLdr插件
编译好的TitanLdr工具放在客户端,在cs上script manager安装TitanLdr.cna
在这里插入图片描述

2)创建监听器
53端口不能被占用
在这里插入图片描述

3)生成木马上线
在这里插入图片描述

4、流量分析
Beacon运行之后,看到只进行了DNS请求用来解析DOH服务器,之后的所有的通信流量都使用HTTPS进行了加密。该流量情况和单纯地dns隧道流量有明显的区别,DNS隧道建立的通信主要使用DNS协议,没有TLS的流量。
在这里插入图片描述

这里出现了国外的ip通信,考虑可能是两方面原因,一是我使用的腾讯云服务器进行的操作,不排除腾讯云本身有使用cdn的功能,二是由于工具编译环境安装限制,我在aws的vps上进行的编译,然后下载到本地使用,TitanLdr工具是否会绑定和服务器相关联的属性尚不得知。

思考:
1.即使是使用HTTPS加密通信,但是仍然需要和DOH服务器建立通信,检测手段可以从这几个DNS包着手,静态特征匹配黑域名或者黑ip。
2.或者根据连接建立之后的行为进行判断,只是这个方法会相对较难。
3.传统检测DNS隧道的一个重要手段是判断是否有大量的DNS协议交互,从这点考虑DOH可以很好的避免。
4.同时时间是一个明显的短板,由于DNS TXT最多只能放置255个字符,所有通讯时间相对较长,实验时等待时间较长。

参考:https://www.blackhillsinfosec.com/dns-over-https-for-cobalt-strike/
参考:https://www.freebuf.com/articles/web/256032.html
参考:https://www.cnblogs.com/Feii/p/13080324.html

久违
2022.2.10

原文链接:https://blog.csdn.net/weixin_42742658/article/details/122876662?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165918469516781683976240%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165918469516781683976240&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-12-122876662-null-null.nonecase&utm_term=%E9%A6%99%E6%B8%AFcdn

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/1875

(0)
上一篇 2022年7月30日 21:25
下一篇 2022年7月30日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml