内网神器Cobalt Strike隐藏特征与流量混淆.

news2025/1/12 18:14:12

由于上次还没有写好https上线的东西,今天加班加点的弄出来了。
本文内容如有错误,望及时告知,以免误导他人.

Cobalt Strike 特征隐藏与流量混淆

大致内容:

  • 修改默认端口

  • 服务器设置禁Ping

  • Cobalt Strike默认证书修改

  • CDN隐藏

  • 利用C2流量混淆

Cobalt Strike服务端配置

0x01. 需求配置

  • vps一台

  • 域名

  • CDN

  • Cobalt Strike4.0

0x02. 服务器设置禁ping

服务器禁ping从某种意义上来说,算是不存活的主机,但nmap是依然能够扫描出来的。
设置禁ping命令:
vim /etc/sysctl.conf 打开后按i进入编辑模式,在任意位置新增以下内容
net.ipv4.icmp_echo_ignore_all=1

图片

新增之后 ESC -> 冒号 -> wq[退出并保存]
再使用命令 sysctl -p 即可生效,这时候再ping主机就会ping不通了。

图片

0x03. 修改Cobalt Strike默认端口号

在服务端的teamserver文件末尾处修改

图片

修改之后再次启动teamserver的时候即可看到端口已经更改。

图片

0x04. 修改默认证书

Cobalt Strike默认证书中含有与cs相关的特征,所以需要替换掉cs原有的证书,重新生成一个无特征的证书文件。
前提条件:服务器上已安装java
使用jdk自带的keytools这个java证书管理工具来生成新的无特征证书。

  • 首先删除cobalt strike原有的证书

  • 新建一个其他名字,只需要在teamserver最后一行修改 -Djavax.net.ssl.keyStore=./new.store 即可

  • 在Cobalt Strike当前目录生成一个无特征的证书

keytool -keystore 生成的store名 -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 自定义别名 -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

keytool -keystore new.store -storepass bypass -keypass bypass -genkey -keyalg RSA -alias apex.tk -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

图片

  • 修改证书标准并应用

> keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

至此证书修改完成,使用命令:
keytool -list -v -keystore cobaltstrike.store 可查看证书内容

图片

可以看到签名是92EE36结尾,启动teamserver看看证书签名是否一致:

图片

签名一致,确认证书修改成功.

0x05.混淆流量

接下来修改Beacon与cobalt strike通信时候的流量特征,创建一个.profile文件(名字任意),贴入以下从大佬那里偷过来的代码。

https-certificate {
    set keystore "new.store";    #证书名字
    set password "bypass";        #证书密码
}
#以上没有配置cloudflare的时候可以先不写

http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Host" "apex1.tk";  #域名,还没有配置cloudflare的时候这一行注释掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append ".jpg";  # 传输内容自动追加的后缀
            uri-append;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;  # 加密方式(base64、base64url、netbios、netbiosu)
            print;
        }
    }
}
http-post {
    set uri "/email/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com"; 
        header "Host" "apex1.tk";  #域名,还没有配置cloudflare的时候这一行注释掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".png";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}

保存之后赋予服务端的c2lint执行权限:chmod 777 c2lint

然后输入:./c2lint img.profile

输出如下图所示即为配置成功

图片

图片

使用CDN隐藏

0x01. 申请免费域名(白嫖是真香啊.)

白嫖域名连接:www.freenom.com 可以用来做博客域名、也可用来做其他用处
白嫖的可以不留过多信息,使用谷歌账号登录即可.
记得科学上网挂着,不然有可能申请不通过。

图片

域名自己随便写一个喜欢的即可,检查可用性,然后点击selected,Checkout即可,1-12个月都是免费的

图片

图片

0x02. CDN配置(白嫖系列)

一时白嫖一时爽,一直白嫖一直爽,使用Cloudflare白嫖cdn.
有账号可以继续使用该账号进行添加站点,没有账号使用匿名邮箱注册一个即可.(推荐outlook、protonmail都可匿名)

1. 添加站点记录

图片

这里添加站点,有时候会报错,google、baidu了很多方法都不管用,于是乎第二天就可以添加到了。

图片

2. 添加DNS记录

根据自己喜欢随便整就行,解析记得写vps的地址,代理状态是默认开启,没有的话手动开启一下即可.

图片

3. 修改DNS服务器

去freenom中删除dns名称服务器,添加为cloudflare的名称服务器

图片

到freenom中修改dns服务器

图片

图片

图片

4. 配置完成

以上操作完成之后回到cloudflare进行下一步
将https重写、始终使用https、Brotli都关闭并保存,之后点击检查名称服务器
点击检查之后过一会儿刷新一下页面,出现以下就代表成功了

图片

图片

一定要开启开发者模式!!!
缓存 -> 开发模式 开启

图片

Cloudflare CDN支持的http端口:80,8080,8880,2052,2082,2086,2098
Cloudflare CDN支持的https端口:443,2053,2083,2087,2096,8443

5.HTTPS证书配置

首先配置配置SSL/TLS加密模式为完全,点击 源服务器 -> 创建证书,把密钥和证书复制保存下来,分别保存为pem.pem和key.key,然后上传到cobalt strike服务端

图片

图片

图片

图片

上传到服务端之后,使用keytool重新创建store证书:

首先执行openssl pkcs12 -export -in 证书名 -inkey 私钥名 -out p12名,如abc.p12 -name 域名 -passout pass:bypass

openssl pkcs12 -export -in pem.pem -inkey key.key -out apex.tk.p12 -name apex.tk -passout pass:bypass

其次执行keytool -importkeystore -deststorepass 密码 -destkeypass 密码 -destkeystore store名 -srckeystore p12名,如abc.p12 -srcstoretype PKCS12 -srcstor epass 密码 -alias 别名

keytool -importkeystore -deststorepass bypass -destkeypass bypass -destkeystore new.store -srckeystore apex.tk.p12 -srcstoretype PKCS12 -srcstor epass bypass -alias apex.tk

最后在profile配置文件中,取消注释头部的代码即可。

启动服务端的时候命令:./teamserver xx.xx.xx.xx password img.profile

6.测试上线

Listener按照下图配置,HTTPS同理

图片

这里local port http就写80 https就写443

图片

图片

参考文档:
https://www.jianshu.com/p/e7701efef047
https://www.cnblogs.com/Xy--1/p/14396744.html
https://lengjibo.github.io/malleable/

 声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

免费领取安全学习资料包!


渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1635587.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【c++】mutable是一个关键字,用于指定一个类成员可以在一个const成员函数中被修改。

mutable是一个关键字,用于指定一个类成员可以在一个const成员函数中被修改。通常,当一个成员函数被声明为const时,这意味着这个函数不能修改它所属的对象。然而,有时候你可能需要在一个const成员函数中修改某个成员变量。这时,你就可以使用mutable关键字。webrtc的StunReq…

VOS系统录音文件REC转MP3,REC录音转WAV与WAV转MP3具体项目中实现方式,以及占用空间变化!

前面讲解了VOS3000系统的录音REC转MP3的安装步骤,不清楚的,可以移步这里查看:http://t.csdnimg.cn/OXNT9 或者 点击这里查看安装步骤,下面继续讲下他们的使用方法,以及实际项目中的运用,首先我们需要明确我…

记录一下因网络问题导致的安装Python3.8和SuperSet的报错

【报错1】Python3.8的环境报错 【背景说明】 我目前在搭建数仓最后一个环境-->将MySQL的数据用SuperSet展示,安装SuperSet需要提前在Linux上安装Python环境,下面截图就是我在创建Python3.8的环境报错 命令为:(base) [dahuahadoop102 ~]…

shell脚本,删除30天以前的日志,并将日志推送到nas,但运行出现/bin/bash^M。

删除30天以前的日志 将日志推送到nas中,然后删除pod中的日志 pod挂载到本地 运行出现/bin/bash^M 1、删除30天以前的日志: #! /bin/bash# 定义源日志目录 LOG_DIR/home/log/ # 删除日志 find $LOG_DIR -type f -name "*.log" -mtime 30 -exec…

沐风老师3DMAX一键生成桌子插件TableMaker使用方法

3DMAX一键生成桌子插件TableMaker使用教程 3DMAX一键生成桌子插件TableMaker,参数化方式快速创建各种样式桌子模型。 【适用版本】 3dMax2011-2025(不仅限于此范围) 【安装方法】 3DMAX一键生成桌子插件无需安装,使用时直接拖动…

期权交割对股市是好是坏?2024期权交割日一览表

期权交割是指期权买方在期权合约到期日或之前行使期权,卖方履行义务,按照约定的价格和数量与期权卖方进行标的物的买卖或现金结算的过程。 交割方式 期权交割可以分为实物交割和现金交割,具体取决于合约规定。 实物交割 实物交割是指期权买…

Git推送本地项目到gitee远程仓库

Git 是一个功能强大的分布式版本控制系统,它允许多人协作开发项目,同时有效管理代码的历史版本。开发者可以克隆一个公共仓库到本地,进行更改后将更新推送回服务器,或从服务器拉取他人更改,实现代码的同步和版本控制。…

C#程序带参数运行

总结参数是靠 空格来分割 不同组参数的。 参考链接 C#控制台程序入口函数 Main(string[] args) 参数详解_c#中args-CSDN博客https://blog.csdn.net/xwnxwn/article/details/113802305#:~:text%E5%8F%B3%E9%94%AE%E7%82%B9%E5%87%BB%E3%80%90%E9%A1%B9%E7%9B%AE%E3%80%91--%E3%…

下一代云原生应用引擎OpenNJet体验

文章目录 前言OpenNJet 介绍OpenNJet VS NGINXOpenNJet 安装OpenNJet 动态配置体验动态location动态黑名单动态灰度发布 体验感受 前言 作为一名技术人员,我们应时刻保持对行业动态的关注,今天我们就来体验一下号称下一代云原生应用引擎OpenNJet。 Ope…

2022 csp-j 答案(精选题)

主题目 16 - 21题 22 - 27题 28 - 34题 35 -39题 40 - 44题 精选题目 答案及解析 28题 答案:T 解析:考查时间复杂度评估。 31题 答案:A 解析:模拟即可。 32题 答案:B 解析:模拟即可。 34题 答…

H3C无线控制器查看AP版本是否自动升级

全部网络--无线配置--AP管理--AP全局配置 如果开启了AP版本升级,那么当升级AC无线控制器的时候 , AP也会同时进行升级 命令行: [H3C]wlan auto-ap enable 自动注册 [H3C]wlan auto-persistent enable 自动固化 [Sysname] …

mysql 版本升级 8.0.24升级到 8.0.34

mysql 版本升级 8.0.24升级到 8.0.34 1、官方升级手册必看1.0、官方升级手册必看1.1、理解升级过程会做什么1.2、备份升级前的数据1.3、支持的升级路径(什么版本升级到什么版本)1.3.1、mysql所有版本归纳1.3.2、版本升级选择的原则 1.4、5升级8.0需要注意 了解MySQL 8.0需要注意…

PotatoPie 4.0 实验教程(37) —— FPGA实现摄像头图像二值化闭运算效果

手机扫码 链接直达 https://item.taobao.com/item.htm?ftt&id776516984361 什么是图像闭运算,有什么作用? 图像闭运算是由膨胀操作和腐蚀操作组成的。其作用与图像开运算相反,主要用于填充物体内部的小洞或小孔,平滑物体边…

C语言——每日一题(移除链表元素)

一.前言 今天在leetcode刷到了一道关于单链表的题。想着和大家分享一下。废话不多说,让我们开始今天的知识分享吧。 二.正文 1.1题目要求 1.2思路剖析 我们可以创建一个新的单链表,然后通过对原单链表的遍历,将数据不等于val的节点移到新…

20.哈希表(哈希冲突,闭散列、线性探测,开散列、哈希桶)

1. unordered系列关联式容器 在C98中,STL提供了底层为红黑树结构的一系列关联式容器,在查询时效率可达到log_2 N,即最差情况下需要比较红黑树的高度次,当树中的节点非常多时,查询效率也不理想。最好的查询是&#xff…

【RAG 博客】Haystack 中的 DiversityRanker 与 LostInMiddleRanker 用来增强 RAG pipelines

Blog:Enhancing RAG Pipelines in Haystack: Introducing DiversityRanker and LostInTheMiddleRanker ⭐⭐⭐⭐ 文章目录 Haystack 是什么1. DiversityRanker2. LostInTheMiddleRanker使用示例 这篇 blog 介绍了什么是 Haystack,以及如何在 Haystack 框…

设计模式 基本认识

文章目录 设计模式的作用设计模式三原则设计模式与类图设计模式的分类 设计模式的作用 设计模式是在软件设计过程中针对常见问题的解决方案的一种通用、可重用的解决方案。设计模式提供了一种经过验证的方法,可以帮助开发人员解决特定类型的问题,并在软…

代码审计之SAST自动化

前言: 很久没写文章了,有点忙,落个笔,分享一些捣鼓或说适配好的一些好玩的东西。 脚本工具不开源,给一些思路,希望能给大家带来一些收获。 笔者能力有限,如有错误,欢迎斧正。 正文&#xff1a…

环形链表题

1.环形链表1 看题:. - 力扣(LeetCode) 思路1:哈希表 遍历所有节点,每次遍历一个节点时,判断该节点是否被访问过。 可以使用哈希表来存储所有已经访问过的节点。每次到达一个节点,如果该节点已…

Qt 6 开源版(免费) -- 安装图解

Qt6起,两项重大改变(并非指技术): 必须在线安装,不再提供单独的安装包主推收费的商业版 当然的,为了培养市场,Qt6还提供了一个免费的:开源版。 开源版相对于收费的商业版&#xf…