这次实验在Cobalt Strike 4.3下,进行DNS隧道僵尸主机上线,没有暴露C&C主机,属于迭代型DNS隧道,并且可以从Cobalt Strike 4.3的客户端直接控制bot主机,不过这种隧道的DNS数量不是很多,而且速度也非常慢。
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
步骤一:在A记录里面添加C&C服务器(c2.hackbiji.top)的IP地址
步骤二:在NS记录里面添加一条记录,表示任意僵尸域名(bot.hackbiji.top)都由C&C服务器解析
步骤三:在C&C主机上运行Cobalt Strike 4.3 的服务端
步骤四:在kali上运行Cobalt Strike 4.3 的客户端
制作攻击载核,发现只能是x86的
步骤五:在bot主机上运行攻击载核
步骤六:在kali中可以看到bot已经上线了
步骤七:开启wireshark进行抓包
发现这种DNS隧道是基于A记录的