DNSCat pcap analysis
Якщо у вас є pcap з даними, які експортуються через DNSCat (без використання шифрування), ви можете знайти експортований контент.
Вам лише потрібно знати, що перші 9 байтів не є реальними даними, а пов'язані з C&C комунікацією:
Для отримання додаткової інформації: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Є скрипт, який працює з Python3: https://github.com/josemlwdf/DNScat-Decoder
Last updated