一、环境

  • Cobalt strike4.4

  • VPS(服务器)

  • 域名

二、域名解析配置

一条A记录,一条NS记录

image-20220519163940795

1、申请一个域名

​ 【WWW.XX#X.TK]

2、配置解析记录

​ 此次使用的是CDN配置

​ 地址:https://dash.cloudflare.com/

1
2
3
NS记录:NS1  NS1.xxx.tk WWW.xxx.tk 

A记录: A     WWW.xxx.tk   IP

3、等待生效

​ 时间比较久

三、CS DNS Beacon

1、VPS运行服务端

1
2
./teamserver  VPS-IP Password
#注意53端口,如存在服务,需要关闭 netstat -ano | grep 53

2、本地机器添加监听

DNS-HOSTS 使用的是NS的域名

image-20220519165639252

3、生成木马

image-20220519165859802

4、上线

​ 目标机执行木马,但默认情况下主机信息是黑色,需要执行

1
2
checkin 
mode dns-txt

image-20220519170235965

四、CS上线流量特征

​ 受害机器发送大量的请求包,并且很多流量包中请求和响应的的域名较长

  • 过滤查询域名长度超过一定数值时判定为可疑
  • 大量请求同一个二级域名,并且查询结果为0.0.0.0,查询状态为成功

image-20220519171432350