HackTricks
Analisi pcap di DNSCat
Tip
Impara e pratica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al ๐ฌ gruppo Discord, al gruppo telegram, segui @hacktricks_live su X/Twitter, oppure controlla la pagina LinkedIn e il canale YouTube.
- Condividi hacking tricks inviando PR ai repository github HackTricks e HackTricks Cloud.
Se hai un pcap con dati esfiltrati da DNSCat (senza utilizzare la crittografia), puoi trovare il contenuto esfiltrato.
Devi solo sapere che i primi 9 byte non sono dati reali ma sono correlati alla comunicazione C&C:
from scapy.all import rdpcap, DNSQR, DNSRR
import struct
f = ""
last = ""
for p in rdpcap('ch21.pcap'):
if p.haslayer(DNSQR) and not p.haslayer(DNSRR):
qry = p[DNSQR].qname.replace(".jz-n-bs.local.","").strip().split(".")
qry = ''.join(_.decode('hex') for _ in qry)[9:]
if last != qry:
print(qry)
f += qry
last = qry
#print(f)
Per ulteriori informazioni: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap
https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Cโรจ uno script che funziona con Python3: https://github.com/josemlwdf/DNScat-Decoder
python3 dnscat_decoder.py sample.pcap bad_domain
Tip
Impara e pratica AWS Hacking:
Impara e pratica GCP Hacking:
Impara e pratica Az Hacking:Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al ๐ฌ gruppo Discord, al gruppo telegram, segui @hacktricks_live su X/Twitter, oppure controlla la pagina LinkedIn e il canale YouTube.
- Condividi hacking tricks inviando PR ai repository github HackTricks e HackTricks Cloud.