除了各种 DNSLog 之外还有得选吗?

原创 已于 2023-11-07 10:26:51 修改 · 293 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开发语言 #自动化 #安全

于 2023-11-07 10:26:12 首次发布
本文介绍了Yakit的新版本中添加的两种反连检测方法:TCP/ICMPSizeLog通过观察ICMP包大小判断TCP/ICMP连接,以及TCPRandomPortLogger利用TCP随机端口检测。这些方法比传统DNSLog更快,适用于网络隔离和漏洞检测。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景与前情提要

在 “抽象的黑盒漏洞扫描与风险技术评估方法论” 中,我们提出了反连的各种姿势,简单总结一下:

  1. 通过实现通信协议来进行反连检测:DNSLog / RMI / LDAP / HTTP 等
  2. TCP 随机端口反连检测
  3. ICMP 反连:以特定长度 ICMP 包作为依据实现反连检测

我们在 Yakit v1.0.14-sp6 版本中实现了上述描述的所有细节的 GUI 版本

现状

绝大多数的现有方案(例如:http://dnslog.cn / http://ceye.io / xray等)使用 DNSLog / HTTP / RMI 来检测特定协议携带 token 的域名 / URI。当然这些确实是久经验证且非常有效的方式。

这些方式通常对应了我们说的 “第一种方案”:通过实现通信协议来进行反连检测。

然而,通过其他“信道”的观测,我们可以用其他指标来确定 “是否还有其他办法” 检测反连,就是我们今天要介绍的比较少见且有效的 TCP / ICMP Size Log。

我们做了什么?

ICMP Size Logger:

原理解释

众所周知,ICMP 最简单的触发应该是 ping 命令:如果我们在受害主机上 ping 我们自己控制的公网服务器,那么如果 Ping 通了,我们就马上会尝试测试 TCP 反连之类的各种操作。

那这中间可能会有其他的问题:

  1. 如果 ICMP 通,但是 TCP 禁止出网外连怎么办?能想办法缩短检测路径吗?
  2. 如果 ICMP 通了,但是没有回显,不知道到底通了没有,怎么办?

经过思考后,我们发现如果我们自己控制的公网服务器能告诉我们 “有人 Ping 了我” 就再好不过。

基于这种朴素的想法,我们觉得思路完全 Ok,所以只要知道 “谁” ping 了我。这个问题就已经解决了。于是我们使用 ping 命令的 ping -s [len] yakbridge 可以 ping 到我们的目标主机。

为此,我们在 Yakit 中的 “反连管理” 中新增了一个 “ICMP Size Log” 的新页面,在这个页面中,实现了我们上面描述的操作内容:

  1. 我们生成一个可用的 ICMP 长度
  2. 使用这个长度渲染 ping 命令,可供用户使用
  3. 在用户 ping 命令执行后,可以自动观测到 “谁 ping 了我”。

ICMP Size Log 实机演示如下

00:15

TCP Random Port Logger:

原理解释

实际上对于除了 DNS 之外的大多数场景来说,绝大多数反连的 “检测” 都是以 TCP 作为基础协议的,我们可以通过对基于 TCP 协议进行实现从而实现多种应用写的复杂兼容:

  1. 常见的 HTTP 反连检测,我们一般使用 Path 作为 Token 的标注位置,来区分 “到底是哪个漏洞触发”:http://example.com/[token]
  2. 常见的 RMI 类似 jndi:rmi://http://example.com/[token]
  3. ...

但是实际上,上面的各种用例都是需要用户具体监听某个端口来实现的,在于 @奶权 师傅的交流中,我们实现了一种更 “通用的” 检测手段,并成功把它进行了工程化实现:

为此,我们同样也实现了一个 GUI 版本,大家可以在 Yakit - “反连管理” 中直接使用

TCP Port Log 实机演示如下

00:14

关于公网服务器:

配置公共 Yak Bridge

目前 Yakit 内置了一个公网服务器供大家在 Yakit 中使用上述功能。当然,这个服务器的搭建十分简单:

通过一个 “docker-compose” 即可实现该服务器的搭建。

HTTPversion: "2"services: bridge: image: v1ll4n/yak-bridge:latest network_mode: host restart: always command: yak bridge --dnslog --domain [your-root-domain] --log-level error

搭建之后,可以直接连接默认的 64333 端口 (grpc)。

如果用户要在 Yakit 中使用自己的服务器连接:使用 YAK_DNSLOG_BRIDGE_ADDR=[your-bridge]:[port] yak grpc 然后使用 Yakit 连接自己的 Yak 引擎即可

配置加密的私有 Yak Bridge?

目前引擎虽然支持配置私有加密 Yak Bridge,但是这个功能应该在 Yakit 上进行 GUI 输入并本地记住用户的配置选项。

不过当前可以通过右上角 “配置” 选择 “全局配置” 来配置 “公网反连服务器(Yak Bridge)”。

需要注意的是,这个 Yak Bridge 目前并不会在 ICMP Log / TCP Port / DNSLog 中生效,这个配置目前只针对 yaklang 在自动进行漏洞扫描的时候生效。

在进行一些配置转换和调整之后,这个配置将可以在 GUI 服务中生效,同时也会把这部分配置更简单明确的放出。

小总结:

  1. 这两种方式并不一定完全代替 DNSLog,例如 FastJSON 检测的场景。
  2. 这种方式某种角度上来说,比 DNSLog 更快:因为 DNSLog 需要额外进行一次 dns 查询(查询 NS 记录),然后再去连接 NS 记录对应的主机发送 DNS 请求(UDP/TCP 53)
  3. TCP / ICMP Log 可以迅速判断受害主机到攻击机 TCP / ICMP 是否通畅,这是非常好的一个技术补充。
  4. 不止用在 “漏洞检测” 方面,可以用这个方式来判断用户的 “网络隔离” 配置是否生效。

Yak官方资源

Yak 语言官方教程:
https://yaklang.com/docs/intro/
Yakit 视频教程:
https://space.bilibili.com/437503777
Github下载地址:
https://github.com/yaklang/yakit
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ

YakProject
关注
dnslog调用脚本
不爱缺氧i的博客
08-19 489
可以根据需要调整刷新时间间隔。# 第一次请求获取子域名和Cookie。#获取dnslog子域名实时刷新记录。# 处理记录数据的逻辑。# 持续请求记录数据。
​GODNSLOG | 开源一个新鲜的DNSLOG
chennqqi的专栏
08-28 1641
背景动机之前有一段工作是跟漏扫相关的,在开发漏扫时有DNSLOG这么一个需求,当时考虑到时间成本没有自己做。虽然现有市面上DNSLOG不少,我还是重复造了一个轮子, 有多个原因。现有的开...
好用的dnslog在线平台
白帽子黑客SuperherRo
09-18 2523
dnslog在线平台分享
入侵检测——BurpSuite
LainWith的博客
01-13 3999
目录介绍ping测试流量分析规则TCP型流量分析规则 介绍 BurpSuite里面有一个类似DNSlog的功能。它生成的域名中存在.burpcollaborator.net,可以利用此特征防御BurpSuite带外通道攻击。这种攻击方式还是蛮流行的,一周就能收到近10W条告警。 ping测试 普通ping 2. 获取测试结果 流量分析 查看icmp协议的内容,data部分没啥可看的 2. 查看dns协议的内容,及追踪流 看到了访问的地址 规则 规则检测.burpcollaborator.
【转载】分享几个好用的在线DNSLOG网站
最新发布
潇逗
02-14 1192
dnslog平台分享
PHP强化之11 - PCRE正则表达式
nosee123的博客
12-08 403
一、简介 正则表达式是一种描述字符串结果的语法规则,是一个特定的格式化模式,可以匹配、替换、截取匹配的字符串。 二、语法 当使用 PCRE 函数的时候,模式需要由分隔符闭合包裹。分隔符可以使任意非字母数字、非反斜线、非空白字符。经常使用的分隔符是正斜线(/)、hash符号(#) 以及取反符号(~)。 合法模式示例: /<\/\w+>/ #^[^0-9]$# |(\d{3})-\d+|S...
[网络安全]XSS之Cookie外带攻击姿势详析
Hacker_LaoYi的博客
02-13 1008
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)网络安全产业就像一个江湖,各色人等聚集。
2024年最全网络安全面试题目之渗透篇(一)_burp重复提交数据包(2)
m0_60691292的博客
05-01 1025
你平时用的比较多的漏洞是哪些?相关漏洞的原理?以及对应漏洞的修复方案? JAVA 为什么有的时候没有错误回显 webshell检测,有哪些方法 php的LFI,本地包含漏洞原理是什么?写一段带有漏洞的代码。手工的话如何发掘?如果无报错回显,你是怎么遍历文件的? IIS 6.0IIS 7.0/7.5NginxApache windows权限提升(二) Linux linux权限提升 反弹 shell 的常用命令?一般常反弹哪一种 shell?为什么?
渗透测试或安服等面试问题与答案
Vdieoo的博客
11-29 4807
启明星辰 1开发做的模块有安全漏洞被你发现了,但是老板催着上线 你作为安全工程师怎么处理 加班加紧和开发一块处理安全漏洞,及时向老板汇报情况 2内网服务器被人种植shell,怎么做应急响应 常态化安全检查与安全加固 中间是流程 下层是 收集安全系统报警信息,根据威胁情报平台和之前误报的信息初步研判(何种安全事件),自己能解决则利用应急技能(进程分析,日志分析,样本分析)(清理处置:断网后远程连接杀进程,删文件,打补丁,查看攻击途...
SQL注入知识总结
hackzkaq的博客
01-20 1万+
更多黑客技能 公众号:暗网黑客 作者:掌控安全-veek SQL注入基础 SQL注入(英语:SQL injection),是发生于应用程序与数据库层的安全漏洞。 简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 OWASP Top10虽然常年有更改,但sql注入基本一直位于榜首,其优势在于极低的使用代价以及极高的危害性,地位可见一斑。 SQL注入的危害自然是很大的,通常有以.
通过Yakit单兵作战工具进行log4j2 RCE漏洞复现(CVE-2021-44228)
m0_72037303的博客
08-04 1965
在家庭局域网的另一条Ubuntu24笔记本中,使用vulhub靶场搭建,首先下载,解压并进入目录/vulhub/log4j/CVE-2021-44228中,执行docker启动命令宝塔查看靶场信息接下来我们直接访问靶机ip的8993端口即可看到靶场。
Yakit:不用 Token 也能执行的反连检测技术!
YakProject的博客
11-01 2254
在传统的反连/出网技术检测中,不管是 dnslog 还是 RMI / LDAP Fake 服务器,或者是最基础的 HTTP 服务器,如果需要自动化监测并报告漏洞,需要把 Token 与发出的 Payload 检测漏洞需要对应。同时,在YAK 中实现了一套 cybertunnel 的机制,使用 grpc 构建了一套端口穿透的技术,可以映射一个本地 tcp / udp 协议端口到远端。当我用搜索引擎,如谷歌和百度搜索“反连平台”四个字时,首页几乎所有的内容都是xray的反连平台。
新功能史上最好用的反连&JavaHack,安全能力基座强化ing
白帽黑客八哥的博客
06-21 1643
有些Java漏洞的利用太繁琐了,需要java环境、多种工具配合使用、还要在虚拟服务器上看回显、记各种命令…对比之下 Yakit 真的太好用了。本次更新的两个功能基本上可以解决大部分Java漏洞利用的场景,希望师傅们多多使用,欢迎提出意见。
DNSlog介绍
热门推荐
告白的博客
07-09 2万+
0x00 DNSlog 介绍 首先我们知道DNS是起ip与域名的解析的服务,通过ip可以解析到对应的域名。DNSlog就是储存在DNS上的域名相关的信息,它记录着你对域名或者IP的访问信息,也就是类似于日志文件, 0x01 DNSlog回显原理 首先了解一下多级域名的概念,我们知道因特网采用树状结构命名方法,按组织结构划分域是一个名字空间中一个被管理的划分,域可划分为子域,子域再可被划分为多级域名称为一级域名,二级域名,三级域名,从一个域名地址来从右到左依次是顶级域名,二级域名,三级域名,例如 gao
通过ICMP协议反弹SHELL并执行命令
Ms08067安全实验室
12-16 1376
内网中的大多数系统都位于防火墙和企业代理之后,以便控制入口以及出口流量。防火墙可以拦截到反连的shell,但ICMP协议基本上是不拦截的。因此,为了获得shell并在目标主机上执行命令,...
log4j漏洞学习
向阳-Y.的博客
03-12 1038
log4j漏洞产生的主要原因是因为JNDI注入 1.什么是JNDI JNDI可以理解为JDBC的一个替代升级产品。 通常我们可以采用JDBC连接数据库,需要配置数据库端口,数据库地址等信息。 但当某个企业不想再用MYSQL数据,而是想用oracle数据时,JDBC需要修改大量的代码,并且还有其他一系列的问题会出现,相当棘手。 这时候出现了JNDI(Java Naming and Directory Interface),JNDI可以实现只需要一个数据源名字则可连接到对应的数据库,配置简单。 注入流程分析
DNS与DNSLog
qq_45675619的博客
05-11 2452
这里写目录标题DNS简介解析过程DNSLog简介ceye的使用DNSLog注入SQL盲注 DNS 简介 DNS(Domain Name System),也就是域名系统。将域名与IP地址相互映射的一个分布式数据库。DNS使用UDP端口53。 域名解析的过程就是将域名去DNS服务器的数据库中寻找,这是比较耗费时间的。为了提高上网速度,运营商一般在他们的DNS服务器中缓存了许多的DNS记录,再根据用户所在地进行网络分配。这样用户打开网页则不需要去查询DNS数据库,而是直接使用缓存的DNS记录。 解析过程 大致流程
漏洞扫描(kali beef-xss、DNSlog、CSRF、SSRF)
m0_61506558的博客
08-04 1917
并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口 探测、攻击内网网站等危害。,'.yourid.ceye.io/jinyiuxin'))),1,0) 黑体处拼接SQL语句。gopher协议:是一种信息查找系统,只支持文本,不支持图像,已被HTTP替代。第三方网站利用被攻击网站生效的cookie,直接对服务器接口发起请求。抓取正常通信请求的数据包,再请求一次。.........
【老火柴擦出新火花】利用DNSlog进行更高效率的无回显渗透测试
jklbnm12的博客
07-17 2312
目录0.说在前面0.1.DNSlog工具1.什么是DNSlog2.DNSlog回显原理3.DNSlog通常用在哪些地方3.1.SQL注入盲注3.2.XSS盲打3.3.无回显的命令执行3.4.无回显的SSRF3.5.无回显的XXE(Blind XXE) 0.说在前面 0.1.DNSlog工具 如果有自己的服务器和域名,可以自建一个这样的平台,直接使用BugScan团队开源的工具搭建即可: https://github.com/BugScanTeam/DNSLog 另外我们也可以使用在线平台: http://
如何判断dnslog的告警信息?
11-10
DNSLog平台可以通过访问平台提供的域名来获取DNS解析记录,从而判断是否有告警信息。具体来说,可以通过以下步骤来判断DNSLog平台的告警信息: ```python # Python代码示例 import dns.resolver domain = 'your_dnslog_domain_name' txt_record = dns.resolver.query(domain, 'TXT') for record in txt_record: print(record) ``` 以上代码会输出DNSLog平台提供的所有TXT记录,其中包含告警信息。需要注意的是,由于DNSLog平台的域名已经被流量监控设备加入规则库,因此可能会被一些安全设备拦截,需要根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值