DNSCat pcap analysis
Si tienes un pcap con datos siendo exfiltrados por DNSCat (sin usar cifrado), puedes encontrar el contenido exfiltrado.
Solo necesitas saber que los primeros 9 bytes no son datos reales, sino que están relacionados con la comunicación C&C:
Para más información: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Hay un script que funciona con Python3: https://github.com/josemlwdf/DNScat-Decoder
Last updated