文章总结： 本文档详细介绍了如何配置afrog与revsuit以实现OOB（带外）检测。核心步骤包括：1.在公网VPS上配置DNS域名解析，创建A记录和NS记录；2.下载并运行revsuit，修改其config.yaml文件以开启HTTP和DNS监听功能；3.在revsuit的管理界面手动添加HTTP和DNS日志提取规则；4.最后在afrog的配置文件中填入对应的token、dnsdomain、httpurl和api_url等信息。 综合评分： 85 文章分类： 渗透测试,红队,WEB安全,技术标准,解决方案

配置afrog的RevSuit

原创

酒零 酒零

NOVASEC

2024年8月26日 15:00 湖南

0、预备资源

公网VPS：6.6.6.6  [假设]域名DNS：yourdns.com  [假设]

1、配置DNS域名解析

新建 A 记录：logns.yourdns.com 指向VPS公网IP 6.6.6.6新建NS记录：log.yourdns.com指向上一步配置的域名logns.yourdns.com

解释：

使用 logdns.yourdns.com (IP 6.6.6.6)作为 域名log.yourdns.com的DNS服务器。

所有对域名log.yourdns.com的dns查询，都会在logdns.yourdns.com (IP 6.6.6.6)的53端口被监听。

注：本次使用cloudflare接管DNS解析配置功能。

注：logdns子域名是可以自定义的,后续没有用到,可以任意修改.

注：log子域名是可以自定义的，修改的话需要后续同步修改配置中的log字段.

注：开启cloudflare的CDN功能不影响功能使用

2、下载测试revsuit可执行程序：

应用主页：https://github.com/Li4n0/revsuit    下载测试：curl -L -O https://github.com/Li4n0/revsuit/releases/download/v0.7.1/revsuit_linux_amd64chmod +x revsuit_linux_amd64./revsuit_linux_amd64

注：初次运行会生成 config.yaml文件

注：如果提示so文件缺失，请参考readme的源码安装方案。

3、简单修改revsuit config.yaml

config.yaml内容：注：以下配置仅启用HTTP和DNS功能+++++++++++++++++++++++++++++++++++++version: 1.5addr: :80                      # 必须 指定HTTP请求端口token: 自定义Token             # 必须 指定HTTP请求TOKendomains: [log.yourdns.com]     # 必须 指定DNS请求域名external_ip:admin_path_prefix: "/helplog"  #自定义API请求目录 默认是/revsuit    database: revsuit.dblog_level: infocheck_upgrade: false           ip_location_database:  database: "qqwry"                # qqwry or geoip.  geo_license_key: ""               # Mandatory field, if you choose to use GeoIP.           http:  ip_header:dns:  enable: true                                     # 必须 开启DNS查询监听功能  addr: :53++++++++++++++++++++++++++++++++++++++

4、使用config.yaml启动revsuit

后台运行：nohup ./revsuit &
管理地址：http://6.6.6.6:80/helplog/admin
注：管理地址中的端口:80 和 路径/helplog 取决于config.yaml配置

5、编写提取规则

#

启动revsuit服务器后默认还没不支持提取请求内容，需要配置提取规则.

提取规则可以手动填写，或者直接导入导出以前的配置规则

#

手动添加HTTPlog提取规则

访问HTTP Rules配置页 -> 点击 +New Rule填写 Name (规则名称)   http填写 Flag Format (规则提取正则)   /log/(.*)点击 submit提交保存
注：规则含义为提取 http://6.6.6.6:80/log/ 后的所有数据作为http记录

手动添加DnsLog提取规则

访问DNS Rules配置页 -> 点击 +New Rule           填写 Name (规则名称)   dns    填写 Flag Format (规则提取正则)   (.*).log填写 Value 域名响应内容 8.8.8.8  （可随意配置）点击 submit提交保存
注：规则含义为提取 log.yourdns.com 前的所有数据作为dns记录

导出和导入配置规则配置

在Setting面板 -> RULES 子面板可以导入导出已配置的revsuit规则

6、afrog配置使用

afrog v3.0.7及之后版本支持联动 revsuit进行OOB检测

afrog-config.yaml  revsuit配置项介绍：

revsuit:      token:密钥（参考 revsuit 教程）  dns_domain: 记录 dns log 的域名  http_url: 记录 http log 的 url  api_url: revsuit 的验证接口（参考 revsuit 教程

本教程的afrog revsuit配置项：

revsuit:  token: 自定义Token  dns_domain: log.yourdomain.com  http_url: http://6.6.6.6:80/log/  api_url: http://6.6.6.6:80/helplog

afrog-config.yaml配置参考：

注：http_url中的/log/目录是由HTTP提取规则所限定的,如需修改,请同步修改HTTP规则

注：dns_domain中的log子域名是由DNS提取规则所限定的,如需修改,请同步修改DNS提取规则和DNS解析域名。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：NOVASEC 酒零 酒零《配置afrog的RevSuit》