這次實驗在Cobalt Strike 4.3下,進行DNS隧道僵屍主機上線,沒有暴露C&C主機,屬于疊代型DNS隧道,并且可以從Cobalt Strike 4.3的用戶端直接控制bot主機,不過這種隧道的DNS數量不是很多,而且速度也非常慢。
ailx10
網絡安全優秀回答者
網絡安全碩士
去咨詢
步驟一:在A記錄裡面添加C&C伺服器(c2.hackbiji.top)的IP位址
步驟二:在NS記錄裡面添加一條記錄,表示任意僵屍域名(bot.hackbiji.top)都由C&C伺服器解析
步驟三:在C&C主機上運作Cobalt Strike 4.3 的服務端
步驟四:在kali上運作Cobalt Strike 4.3 的用戶端
制作攻擊載核,發現隻能是x86的
步驟五:在bot主機上運作攻擊載核
步驟六:在kali中可以看到bot已經上線了
步驟七:開啟wireshark進行抓包
發現這種DNS隧道是基于A記錄的