今天做了一个cs-dns的上线过程,发现这个上限的方式还是挺隐蔽的。通过ip查询起来的话很难被追溯到。所有的流量全部是通过dns端口来做控制的。
首先通过exe的木马确保上限
然后在被控端端开启wireshark
随后在控制端下一个命令
下面是我在下达命令之后的一个完整流量截图,其中像这种txt api.xxx post.xxxx之类的都是cs在传输数据的特征。
这个图片其实不大,但是用dns的端口去用来传输数据的话这个就很慢了
流量差不多这个地方才结束吧。截取桌面的这个动作差不多花了半个小时的时间才将数据传输过来。因此这个上线的方式适合于shell命令的下发,但是对于大数据传输的话这个时间的成本还是很大的。
