Cobalt Strike 第三章Cobalt Strike DNS Beacon 的使用与原理11dns 木马因为隐蔽性好在受害者不会开放任何端口 可以规避防火墙协议走的是 53 端口(服务器)防火墙不会拦截缺点响应慢。2受害者在执行我们的传输器下载完木马之后就会发出 a 记录的请求受害者首先会请求本地的 hosts 文件 再去请求本地的 dns 能不能告诉 123456.test.1377day.com 的 ip 多少如果本地 dns 存在记录就返回 ip没有就会去查找 root 根 dns 不存在记录 接着就会访问com 的 dns 没有就会去查找 dnspot 的 dns 如果都不存在 就会去查找名称服务器 的。 这个是就会访问 teamserver 的服务器 在 teasmserver 的服务器上也有 dns 刚好存在记录 就会返回 ip 同时 teasmserver 会有 dns beacon 的信息 返回受害者 受害者再请求危险的 a 记录到 teamserver。 这就是 dns beacon 的工作过程。简单的说c1.1377day.com的子域名服务器地址在这里就是team server的IP地址21DNS beacon的类型域名创建 ns 指向首先指向 a 记录 test.1377day.com 指向 teamserver接着创建三个 ns 记录 分别 c1,c2,c3 指向 test.1377day.com31测试环境我们先开一台虚拟机然后nslookupserver test.1377day.com123456(这个是任意的)nslookup 123456.c1.1377day.com