Cobalt Strike之DNS Beacon使用记录

*原创作者:补丁君,本文属FreeBuf原创奖励计划,未经许可禁止转载

笔者使用环境

本机

Debian Linux

服务器

VPS(Debian Linux)

目标

Windows 2003(虚拟机)

Cobalt Strike

v3.6(开心版)

Cobalt Strike开启团队服务器模式需要Java环境,本机使用也需要,推荐安装Oracle java8


先上传Cobalt Strike压缩包到服务器上,解压

如图所示,输入命令

root@AliYun:~/cobaltstrike# nohup ./teamserver 你的服务器ip 你要设置的密码&

这样就可以开启Cobalt Strike的团队服务模式了,并且可以后台挂载在那里

然后,本机打开Cobalt Strike,输入服务器IP、端口、密码,用户名任意设置

顺利的就连上了服务器,现在开始正题

拿出我们准备好的域名,修改NS记录绑定到DNSPod上

先添加一个域名A记录,指向我们的服务器IP

想用Cobalt Strike的DNS Beacon话,我们还需要添加两个域名的NS记录

注意:记录值要填写刚刚设置A记录的二级域名fuck.xxx.com,最后设置好如图所示

下面开始配置Cobalt Strike,生成后门

添加一个listener,选择第一个beacon_dns就是走DNS隧道协议,隐蔽性极强,不开任何端口。(缺点:响应速度慢)

配置好监听后,就开始生成后门吧

目标是32位的就默认就好,64位的就勾选下选项即可

生成好木马,就利用一些猥琐的手段放进目标机运行咯(笔者这里就直接复制进去双击了~~)

注意还未运行前端口开放状态

运行木马后,Cobalt Strike已经呈现出一个主机会话了

可以发现,会话延迟很高!主机的一些信息都还没反应过来!此时我们再来看看主机端口开放情况

与运行前并无什么差别的~

现在也有很多后门传输开始走DNS隧道了,比以往走HTTP、TCP等更难察觉,传送门http://www.freebuf.com/sectool/110815.html

笔者对此方式的理解如下:(错误之处,请提出一起交流学习~)

木马向DNS服务器ns1.xxx.xxx发起通信——>DNS服务器ns1.xxx.xxx指向域名fuck.xxx.xxx——>域名fuck.xxx.xxx指向VPS的ip——>木马与VPS建立DNS隧道连接 VPS上的teamserver向本机Cobalt Strike返回主机会话

后面怎么利用就是beacon>help 查看命令自己造吧~~

那么,我们试试不走DNS隧道呢?

再添加个监听,走http通道

重新生成个后门,运行后,返回了主机会话(速度很快)

此时,我们查看下目标主机端口开放情况

这就是走HTTP传输了,端口开放可以被探测到,但这种模式传输数据相对要快很多了

后面深入应用就不在此文表述了,仅为抛砖引玉~

参考:

https://blog.cobaltstrike.com/2013/06/06/dns-command-and-control-added-to-cobalt-strike/

https://www.cobaltstrike.com/help-dns-beacon

*原创作者:补丁君,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏网站漏洞修补

微信里的网站网址被提示已停止访问该网页该如何解决

今天早晨发现我们公司网站只要在微信和qq中打开,分别被微信提示:已停止访问该网页,该网站链接以及在qq上被提示危险网站,千万别访问,首先先看下微信中打开网址被微...

1.3K30
来自专栏信安之路

记一次有趣的渗透测试

最近在做渗透测试的练习中遇到一个比较有意思的站点,在此记录下来,希望能给向我一样刚入安全圈不久的萌新提供一些基本思路吧。

27200
来自专栏杨建荣的学习笔记

Windows环境下搭建Oracle 12c的体验

昨天准备一个Oracle环境,结果看起来是很简单的事情,却因为各种各样的原因耽搁了一些时间,从下载到安装部署,已经几个小时过去了,抬头看看,已经是凌晨快2点了。...

14700
来自专栏运维小白

25.2 安装Docker

Docker安装 curl https://download.docker.com/linux/centos/docker-ce.repo -o /etc/y...

42090
来自专栏北京马哥教育

话你知容器虚拟技术

传统虚拟化技术与容器技术对比 1、传统的虚拟化技术 ? 传统的虚拟化技术会在已有主机的基础上创建多个虚拟主机,然后在每个虚拟主机上安装独立的操作系统,并由...

33140
来自专栏编程坑太多

『中级篇』docker企业版本地安装之UCP(57)

PS:详细不介绍,就是一个图形化的,没啥介绍的。下次在阿里平台是建立下用云端玩玩。

28040
来自专栏杨建荣的学习笔记

关于几个MySQL环境问题的对比 (r7笔记第66天)

有时候出现了环境问题,对比是一种很好的方式,如果对比得当,可以避免反复的出现问题,可以根据对比的情况推理出一些可能出现的情况或者问题。 如果对比不当,很可能得出...

39160
来自专栏Jackson0714

WCF安全1-开篇

38480
来自专栏IT技术精选文摘

如何利用配置中心规范构建PaaS服务配置

在上一篇文章中,我们以MQ和ACM为例,讨论了如何借助配置中心对消息进行限流管理的场景。在本文中,我们继续以该场景为例,讲述如何以规范的配置命名格式来进行限流设...

43080
来自专栏blackheart的专栏

[认证授权] 3.基于OAuth2的认证(译)

OAuth 2.0 规范定义了一个授权(delegation)协议,对于使用Web的应用程序和API在网络上传递授权决策非常有用。OAuth被用在各钟各样的应用...

415100

扫码关注云+社区

领取腾讯云代金券