根据现有检测机制,来对服务器进行隐藏,增加c2服务器被检测到的几率。
CDN:cloudflare
服务器:阿里云香港 debian10 amd64
证书:let's encrypt 免费证书
域名:dot.tk免费域名
CS:CobaltStrike 4.2
上传CS到服务器,配置java坏境等步骤略。
需要做的操作分别为:禁ping、修改默认端口、修改客户端连接证书。
当服务器禁ping后,从某种角度可以判定为主机为不存活状态。
1.1.1 修改系统配置。
编辑文件/etc/sysctl.conf,在里面增加一行。
之后使命命令使配置生效
之后在ping就无法ping通了。
这种方式nmap还是可以扫描到服务器的存活的。
1.1.2 云服务器防火墙(安全组)
使用云服务器防火墙的方式可以更好的控制流量不流向云服务器本身。从外层入口阻断流量。
前提是需要你的服务器为ecs服务器,不能我这种轻量级主机。具体的操作这里就不记录操作了。毕竟我也没有这样还样的服务器。
编辑teamserver文件,搜索50050,将其改为任意端口即可,这里改成53389。
保存退出再次启动时端口就变化了。
因为cs服务端生成的证书含有cs的相关特征所有,这里进行修改替换。修改方式有两种,分别为生成密钥库和修改启动文件。无论是那种方式都需要删去原有的文件cobaltstrike.store
1.3.1 *** 一生成证书
1. 删除密钥库文件cobaltstrike.store
2. 使用命令可以生成新的密钥库文件
3. 使用命令查看证书
4. 启动服务器查看证书签名是否相同。
1.3.2 *** 二修改文件
teamserver 是启动cs服务端的启动文件。里面有环境检测的部分,其中就包括密钥库的检测,这部分的写法是,如检测不到密钥库就使用命令生成新的密钥库,修改这里生成命令。
将其改为
删除原有的https://www.freebuf.com/articles/network/cobaltstrike.store密钥库文件,下次启动时会自动生成新的密钥库文件。
这个密钥库也可以使用下面通过cloudflare申请的密钥库 *** 。
cs生成的木马中会带有服务器的部分信息如IP、域名,使用cdn就可以很好的隐藏住这部分信息,并且在一定程度上可以规避杀毒软件的主机特征查杀。并且在其他大佬的文章中看到https的监听方式中不会采用cobaltstrike.store的密钥库。所以这里申请一个证书代替https监听方式中的默认证书。
使用免费域名的好处是不会有过多的信息记录下来。
访问https://www.freenom.com/zh/index.html注册,可以 *** 一年。具体注册疑问可以参考知乎文章 https://zhuanlan.zhihu.com/p/115535965
选择时长,免费12个月
注册成功
这里我们用域名dotdotdotdot.tk做演示,演示结束后一段时间后删除域名。
cdn部分可以选择其实挺多的,这里选择的是cloudflare。
1、注册账号
2、添加站点、选择免费计划、之后会扫描dns记录
3、修改dotdotdotdot.tk的dns服务器为cloudflare。修改完成后需要一定的时间生效
4、关闭自动https重写和始终使用https、broti压缩
5、出现如下界面就设置生效,可以使用cloudflare进行域名解析操作了。
6、解析一个baidu.dotdotdotdot.tk测试一下。
7、解析域名到你的vps上,配置如下。 *** 状态为已 *** ,这样所有的流量会流经cdn。
此时CDN已经生效
8、配置SSL/TLS加密模式为完全
在cloudflare的dash页面找到SSL/TLS->源服务器->创建证书,之后将公钥和私钥保存下来,分别为server.pem和server.key。一定要在生成的时候保存,不然可能找不到私钥了。
2.3.1 申请证书并打包密钥库
将证书打包并生成store文件
要想使用我们自己申请的证书,这里就需要使用‘Malleable C2 profile’的方式来操作。这里以cloudflare.profile为例。将生成的密钥文件.store放到cs目录下,想cloudflare.profile加入证书配置:
其中需要注意的是https-certificate为证书相关的配置,其他client.header中Host的值要为我们申请的域名,其他的部分,根据个人情况去配置。
使用命令"https://www.freebuf.com/articles/network/c2lint cloudflare.profile"去验证配置文件是否有问题。如下为验证成功的配置。
验证配置失败,会爆出如下错误,根据报错结果去修改你的配置文件。配置文件参考官方帮助文件
使用配置文件启动服务器
github上有一个仓库,可以用于生成c2配置文件,如果使用此种方式需要在木马生成部分的备注,不然可能会导致木马无法上线。
使用方式:
baidu.store就是baidubaidu.dotdotdotdot.tk.store为了方便就改了文件名。
之后使用生成后的profile文件启动服务器即可
作了如上的配置,在生成木马时需要做一些不一样的操作。
**注意:**免费版本的cloudflare支持解析少量的端口,具体端口如下
http:
80、8080、8880、2052、2082、2086、2095
https:
443、2053、2083、2087、2096、8443
之后生成木马,运行即可上线
powershell的上线方式与以前有些许不同。需要启动ssl证书。
备注:如果使用C2concealer生成profile,需要配置listener时在profile中选择variant_1才行,不然可能会导致无法上线。
1、服务器防火墙,c2上线端口只能让cdn的IP访问,这样可以避免被扫描器扫描到,将你的IP加入威胁情报中去。具体配置可以在云服务器安全组操作。或者在服务器使用iptables操作。
2、证书申请这部分我走了很多的弯路,之前打算使用let's Encrypt后来发现无论怎么操作都无法上线,
3、实际上这些操作都是服务器本身的隐藏,要想更好的使用CobaltStrike可能还需要做免杀,做木马文件签名等操作。
4、这些配置做完后,及时服务器不在继续使用,也可以将文件打包拷贝到新服务器中,后面只需更新DNS解析即可。
全部IP段
国内IP段是cloudflare与百度云合作的节点
https://blog.csdn.net/god_zzZ/article/details/109057803
https://hosch3n.github.io/2020/12/16/%E6%A3%80%E6%B5%8B%E4%B8%8E%E9%9A%90%E8%97%8FCobaltstrike%E6%9C%8D%E5%8A%A1%E5%99%A8/
https://support.cloudflare.com/hc/en-us/articles/200169156-Identifying-network-ports-compatible-with-Cloudflare-s-proxy
碎花半身裙配什么上衣 碎花裙给大家的感觉就是清新浪漫的感觉。半身裙不但可以展现完美身材也可以遮住不那么完美的身材。那么碎花半身裙配什么上衣好看呢?这四种搭配,让你显得很洋气。出街穿上它们你才能脱...
我虽然不喜欢炒作,但挖矿项目竞争猛烈,若是没有炒作,没有热度,没有人玩,自然也就赚不到钱。这个叫“起点TAQC”,新用户注册实名认证,填信息即可,免费赠予1000糖果,可以花750糖果买一台流动矿机,...
在哪可以找到黑客解决问题不是勿扰COG大会成员目前国内大部分黑客已经转白许多网上打着黑客商旗号的大部分都是拿着工具骗人的哪里能找到黑客帮忙的呢我手机充错话费了。一去哪里找黑客办事去哪里可以找黑客帮忙...
如今许多加盟商都很是看好周薯薯熟食加盟项目标成长前景,周薯薯熟食项目创立多年,品牌形象早就已经深入人心,深受宽大消费者的喜爱与追捧,选择加盟的话,长短常不错的,是可以或许按照品牌效应乐成的赚到钱的。那...
广东一条快速道,一辆蓝色朗逸一起jiasu跨实线超车, 在BYD唐(视频拍摄车)左侧第一次超车未遂, 第二次超车被BYD唐冲撞,撞翻30多米。 都不是什么好人,交警最终判断朗逸全责。 许多事故...
产品经理工作中,有很多一部分就是沟通了——和运营、设计、开发、老板沟通等。那么在耗费不少时间的沟通中,产品经理能否从中找到一些总结经验以及汲取产品知识的方法,避免重复沟通但是又没学到什么东西。本文中,...