搜索
中国白客联盟»论坛 Techniques 渗透入侵(Hacker attacks) Cobalt Strike之DNS Beacon使用记录
返回列表 发新帖
查看: 942|回复: 0

Cobalt Strike之DNS Beacon使用记录

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-2-21 22:33:13 | 显示全部楼层 |阅读模式

笔者使用环境

本机
Debian Linux
服务器                            VPS(Debian Linux)                           
目标                            Windows 2003(虚拟机)                           
Cobalt Strike                            v3.6(开心版)                           

Cobalt Strike开启团队服务器模式需要Java环境,本机使用也需要,推荐安装Oracle java8

先上传Cobalt Strike压缩包到服务器上,解压

[/url]

如图所示,输入命令

root@AliYun:~/cobaltstrike# nohup ./teamserver 你的服务器ip 你要设置的密码&

这样就可以开启Cobalt Strike的团队服务模式了,并且可以后台挂载在那里

然后,本机打开Cobalt Strike,输入服务器IP、端口、密码,用户名任意设置

[url=http://image.3001.net/images/20170216/14872528377200.png]

顺利的就连上了服务器,现在开始正题

拿出我们准备好的域名,修改NS记录绑定到DNSPod上

[/url]

先添加一个域名A记录,指向我们的服务器IP

想用Cobalt Strike的DNS Beacon话,我们还需要添加两个域名的NS记录

[url=http://image.3001.net/images/20170216/1487253014645.png]

注意:记录值要填写刚刚设置A记录的二级域名fuck.xxx.com,最后设置好如图所示

[/url]

下面开始配置Cobalt Strike,生成后门

[url=http://image.3001.net/images/20170216/14872530555246.png]

添加一个listener,选择第一个beacon_dns就是走DNS隧道协议,隐蔽性极强,不开任何端口。(缺点:响应速度慢)

[/url]

配置好监听后,就开始生成后门吧

[url=http://image.3001.net/images/20170216/14872530945618.png]

[/url]

目标是32位的就默认就好,64位的就勾选下选项即可

生成好木马,就利用一些猥琐的手段放进目标机运行咯(笔者这里就直接复制进去双击了~~)

[url=http://image.3001.net/images/20170216/14872531403678.png]

注意还未运行前端口开放状态

[/url]

运行木马后,Cobalt Strike已经呈现出一个主机会话了

[url=http://image.3001.net/images/20170216/14872532008067.png]   

可以发现,会话延迟很高!主机的一些信息都还没反应过来!此时我们再来看看主机端口开放情况

[/url]

与运行前并无什么差别的~

现在也有很多后门传输开始走DNS隧道了,比以往走HTTP、TCP等更难察觉,传送门[url=http://www.freebuf.com/sectool/110815.html]http://www.freebuf.com/sectool/110815.html

[/url]   

笔者对此方式的理解如下:(错误之处,请提出一起交流学习~)

木马向DNS服务器ns1.xxx.xxx发起通信——>DNS服务器ns1.xxx.xxx指向域名fuck.xxx.xxx——>域名fuck.xxx.xxx指向VPS的ip——>木马与VPS建立DNS隧道连接

VPS上的teamserver向本机Cobalt Strike返回主机会话

后面怎么利用就是beacon>help 查看命令自己造吧~~

那么,我们试试不走DNS隧道呢?

再添加个监听,走http通道

[url=http://image.3001.net/images/20170216/14872535338897.png]   

重新生成个后门,运行后,返回了主机会话(速度很快)

[/url]

此时,我们查看下目标主机端口开放情况

[url=http://image.3001.net/images/20170216/14872536186172.png]   

这就是走HTTP传输了,端口开放可以被探测到,但这种模式传输数据相对要快很多了

[/url]   

后面深入应用就不在此文表述了,仅为抛砖引玉~

参考:

[url=https://blog.cobaltstrike.com/2013/06/06/dns-command-and-control-added-to-cobalt-strike/]https://blog.cobaltstrike.com/2013/06/06/dns-command-and-control-added-to-cobalt-strike/

https://www.cobaltstrike.com/help-dns-beacon


from:http://www.freebuf.com/sectool/127125.html


记录

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x

相关帖子

过段时间可能会取消签到功能了
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表