命令執(zhí)行不回顯利用工具解讀

背景

在一次日常滲透過程中，發(fā)現(xiàn)了一臺機器可以利用jndi命令執(zhí)行，但是無法注入內(nèi)存馬，也無法直接上線，所以想到了

這一工具來獲取一些機器的信息，但是在使用過程中，發(fā)現(xiàn)該工具使用的DNS為dig.pm，但是dig.pm經(jīng)過一些修改后變得時好時壞，無法接收到目標(biāo)機器的請求，而且使用該工具需要執(zhí)行兩個python文件，非常的難受，因此產(chǎn)生了修改該工具的想法。

修改內(nèi)容

將dig.pm修改為ceye.io，增加接收范圍

添加自定義參數(shù)，不再需要在文件中修改

合并HexDnsEcho與CommandGen兩個文件，使用更加方便

添加獲取上一次命令執(zhí)行結(jié)果的功能

兼容zsh

添加自定義dns服務(wù)器

實現(xiàn)有參數(shù)的命令執(zhí)行，例如ls -al、type file、cat file等，由此可實現(xiàn)通過DNS讀取文件

實現(xiàn)分片傳輸，在發(fā)送數(shù)據(jù)次數(shù)存在限制的情況下使用不同dnslog子域獲取結(jié)果

添加--force功能，重復(fù)獲取結(jié)果的情況下未發(fā)現(xiàn)結(jié)尾字符時強行進(jìn)行解密

2023-07-05 添加--force強行解密

重復(fù)獲取結(jié)果的情況下無視結(jié)尾字符強行解密

2023-04-18 支持分片傳輸

用于服務(wù)器存在發(fā)送限制，一個url僅能發(fā)送限定次數(shù)的情況

以dig.pm為例(因為dig.pm存在dns數(shù)據(jù)接收不全，漏數(shù)據(jù)情況，與本次更新遇到的情況十分類似，故使用dig.pm演示，為了更好的使用，推薦大家尋找其他的自建di g.pm)

1.正常使用工具；

2.當(dāng)發(fā)現(xiàn)接收到的數(shù)據(jù)缺少或者不全時，會輸出類似發(fā)現(xiàn)中斷，缺少第4行的數(shù)據(jù)，下一次執(zhí)行將從第4行開始的結(jié)果，同時若發(fā)現(xiàn)接收的數(shù)據(jù)存在最后一行時會出現(xiàn)疑似為最后一塊，請輸入Y/N決定是否開始處理數(shù)據(jù)，若沒有上一句話可以選擇Y，此處我們選擇N；

3.選擇N后繼續(xù)執(zhí)行，會輸出我們下一步需要執(zhí)行的語句，復(fù)制到靶機執(zhí)行即可；

4.數(shù)據(jù)不全會一直執(zhí)行，需要不斷將命令復(fù)制到靶機上執(zhí)行；

5.一直到最后沒有出現(xiàn)發(fā)現(xiàn)中斷，缺少第4行的數(shù)據(jù)，下一次執(zhí)行將從第4行開始的類似字樣，我們選擇Y，即可獲取執(zhí)行結(jié)果；

6.同時也會輸出獲取本次命令執(zhí)行結(jié)果的語句，若想要再次獲取執(zhí)行結(jié)果，直接復(fù)制粘貼使用即可。

2023-03-27 來自r0fus0d(@No-Github)師傅的更新-支持http basic認(rèn)證的自建dig.pm

用于存在http basic認(rèn)證的自建dig.pm

python3 HexDnsEchoT.py -ds DNS服務(wù)器 -tz 服務(wù)器時區(qū) -cc dnsurl中點的數(shù)量+2 -u http_basic認(rèn)證用戶 -p http_basic認(rèn)證密碼

使用

usage: HexDnsEchoT.py [-h] [-d DNSURL] [-t TOKEN] [-lt LASTFINISHTIME]
                      [-f FILTER] [-ds DOMAIN_SERVER] [-tz TIMEZONE]
                      [-cc COUNT] [-m MODEL] [-u HTTPBASICUSER]
                      [-p HTTPBASICPASS]


options:
  -h, --help            show this help message and exit
  -d DNSURL, --dnsurl DNSURL
                        Ceye Dnslog
  -t TOKEN, --token TOKEN
                        Dns Server Token or CeyeToken
  -lt LASTFINISHTIME, --lastfinishtime LASTFINISHTIME
                        The LastFinishTime
  -f FILTER, --filter FILTER
                        Dns Filter
  -ds DOMAIN_SERVER, --domain_server DOMAIN_SERVER
                        Domain Server
  -tz TIMEZONE, --timezone TIMEZONE
                        Timezone
  -cc COUNT, --count COUNT
                        Count Counts
  -m MODEL, --model MODEL
                        Recent Result
  -u HTTPBASICUSER, --httpbasicuser HTTPBASICUSER
                        HTTPBasicAuth User
  -p HTTPBASICPASS, --httpbasicpass HTTPBASICPASS
                        HTTPBasicAuth Pass

因為ceye僅能保存100個數(shù)據(jù)，且會出現(xiàn)重復(fù)的情況下，添加自定義dns服務(wù)器

Ceye

python3 HexDnsEchoT.py -d YourCeye.ceye.io -t ceyeToken

自定義DNS服務(wù)器

python3 HexDnsEchoT.py -ds DNS服務(wù)器 -tz 服務(wù)器時區(qū) -cc dnsurl中點的數(shù)量+2

例

python3 HexDnsEchoT.py -ds http://dig.pm -tz "UTC" -cc 7

服務(wù)器時區(qū)可以使用項目中的Timezone.py自行比對

其中-cc 7為下圖所示，dnsurl中5個點加2，為7

可能等待結(jié)果返回的時間會比較長，請耐心等待

注意：dig.pm有可能獲取結(jié)果不穩(wěn)定，大家可以自己搭建或者尋找其他DNSLOG平臺使用，只需要滿足為以下項目搭建即可：

https://github.com/yumusb/DNSLog-Platform-Golang

或者是以http://x.x.x.x/new_gen獲取隨機子域名并以http://x.x.x.x/token獲取dns結(jié)果的dnslog平臺也可以使用

fofa可以直接搜索DNSLOG Platform尋找DNSLOG平臺

復(fù)制輸出的命令，在目標(biāo)機器上執(zhí)行

DNS獲取到請求，進(jìn)行解密，獲取機器信息

在linux上也可以執(zhí)行獲取結(jié)果

執(zhí)行成功后自動開啟新的filter，無需重新執(zhí)行直接進(jìn)行下一步命令執(zhí)行

有時會出現(xiàn)目標(biāo)機器的命令未執(zhí)行完成，但是已經(jīng)獲取到了一部分結(jié)果，可以使用以下命令再次獲取結(jié)果，本命令已經(jīng)輸出在上次的執(zhí)行結(jié)果中，可直接復(fù)制使用

Ceye

python3 HexDnsEchoT.py -d yourceye.ceye.io -t ceyetoken -f filterstr -lt "上次命令執(zhí)行的時間" -m GR

自定義DNS服務(wù)器

python3 HexDnsEchoT.py -ds 自定義DNS服務(wù)器 -t 上一次執(zhí)行的token -lt "上次命令執(zhí)行的時間" -m GR -cc dnsurl中點的數(shù)量

以dig.pm為例

python3 HexDnsEchoT.py -ds http://dig.pm -t 上一次執(zhí)行的token -lt "上次命令執(zhí)行的時間" -m GR -cc 7

可能等的時間會比較長，請耐心等待

有參數(shù)的命令執(zhí)行

ls -al

type useruid.ini

總結(jié)

在遇到工具無法使用的時候不要放棄，多想想辦法就可以解決

審核編輯：湯梓紅