根据现有检测机制,来对服务器进行隐藏,增加c2服务器被检测到的几率。
CDN:cloudflare
服务器:阿里云香港 debian10 amd64
证书:let's encrypt 免费证书
域名:dot.tk免费域名
CS:CobaltStrike 4.2
上传CS到服务器,配置java坏境等步骤略。
需要做的操作分别为:禁ping、修改默认端口、修改客户端连接证书。
当服务器禁ping后,从某种角度可以判定为主机为不存活状态。
1.1.1 修改系统配置。
编辑文件/etc/sysctl.conf,在里面增加一行。
之后使命命令使配置生效
之后在ping就无法ping通了。
这种方式nmap还是可以扫描到服务器的存活的。
1.1.2 云服务器防火墙(安全组)
使用云服务器防火墙的方式可以更好的控制流量不流向云服务器本身。从外层入口阻断流量。
前提是需要你的服务器为ecs服务器,不能我这种轻量级主机。具体的操作这里就不记录操作了。毕竟我也没有这样还样的服务器。
编辑teamserver文件,搜索50050,将其改为任意端口即可,这里改成53389。
保存退出再次启动时端口就变化了。
因为cs服务端生成的证书含有cs的相关特征所有,这里进行修改替换。修改方式有两种,分别为生成密钥库和修改启动文件。无论是那种方式都需要删去原有的文件cobaltstrike.store
1.3.1 *** 一生成证书
1. 删除密钥库文件cobaltstrike.store
2. 使用命令可以生成新的密钥库文件
3. 使用命令查看证书
4. 启动服务器查看证书签名是否相同。
1.3.2 *** 二修改文件
teamserver 是启动cs服务端的启动文件。里面有环境检测的部分,其中就包括密钥库的检测,这部分的写法是,如检测不到密钥库就使用命令生成新的密钥库,修改这里生成命令。
将其改为
删除原有的https://www.freebuf.com/articles/network/cobaltstrike.store密钥库文件,下次启动时会自动生成新的密钥库文件。
这个密钥库也可以使用下面通过cloudflare申请的密钥库 *** 。
cs生成的木马中会带有服务器的部分信息如IP、域名,使用cdn就可以很好的隐藏住这部分信息,并且在一定程度上可以规避杀毒软件的主机特征查杀。并且在其他大佬的文章中看到https的监听方式中不会采用cobaltstrike.store的密钥库。所以这里申请一个证书代替https监听方式中的默认证书。
使用免费域名的好处是不会有过多的信息记录下来。
访问https://www.freenom.com/zh/index.html注册,可以 *** 一年。具体注册疑问可以参考知乎文章 https://zhuanlan.zhihu.com/p/115535965
选择时长,免费12个月
注册成功
这里我们用域名dotdotdotdot.tk做演示,演示结束后一段时间后删除域名。
cdn部分可以选择其实挺多的,这里选择的是cloudflare。
1、注册账号
2、添加站点、选择免费计划、之后会扫描dns记录
3、修改dotdotdotdot.tk的dns服务器为cloudflare。修改完成后需要一定的时间生效
4、关闭自动https重写和始终使用https、broti压缩
5、出现如下界面就设置生效,可以使用cloudflare进行域名解析操作了。
6、解析一个baidu.dotdotdotdot.tk测试一下。
7、解析域名到你的vps上,配置如下。 *** 状态为已 *** ,这样所有的流量会流经cdn。
此时CDN已经生效
8、配置SSL/TLS加密模式为完全
在cloudflare的dash页面找到SSL/TLS->源服务器->创建证书,之后将公钥和私钥保存下来,分别为server.pem和server.key。一定要在生成的时候保存,不然可能找不到私钥了。
2.3.1 申请证书并打包密钥库
将证书打包并生成store文件
要想使用我们自己申请的证书,这里就需要使用‘Malleable C2 profile’的方式来操作。这里以cloudflare.profile为例。将生成的密钥文件.store放到cs目录下,想cloudflare.profile加入证书配置:
其中需要注意的是https-certificate为证书相关的配置,其他client.header中Host的值要为我们申请的域名,其他的部分,根据个人情况去配置。
使用命令"https://www.freebuf.com/articles/network/c2lint cloudflare.profile"去验证配置文件是否有问题。如下为验证成功的配置。
验证配置失败,会爆出如下错误,根据报错结果去修改你的配置文件。配置文件参考官方帮助文件
使用配置文件启动服务器
github上有一个仓库,可以用于生成c2配置文件,如果使用此种方式需要在木马生成部分的备注,不然可能会导致木马无法上线。
使用方式:
baidu.store就是baidubaidu.dotdotdotdot.tk.store为了方便就改了文件名。
之后使用生成后的profile文件启动服务器即可
作了如上的配置,在生成木马时需要做一些不一样的操作。
**注意:**免费版本的cloudflare支持解析少量的端口,具体端口如下
http:
80、8080、8880、2052、2082、2086、2095
https:
443、2053、2083、2087、2096、8443
之后生成木马,运行即可上线
powershell的上线方式与以前有些许不同。需要启动ssl证书。
备注:如果使用C2concealer生成profile,需要配置listener时在profile中选择variant_1才行,不然可能会导致无法上线。
1、服务器防火墙,c2上线端口只能让cdn的IP访问,这样可以避免被扫描器扫描到,将你的IP加入威胁情报中去。具体配置可以在云服务器安全组操作。或者在服务器使用iptables操作。
2、证书申请这部分我走了很多的弯路,之前打算使用let's Encrypt后来发现无论怎么操作都无法上线,
3、实际上这些操作都是服务器本身的隐藏,要想更好的使用CobaltStrike可能还需要做免杀,做木马文件签名等操作。
4、这些配置做完后,及时服务器不在继续使用,也可以将文件打包拷贝到新服务器中,后面只需更新DNS解析即可。
全部IP段
国内IP段是cloudflare与百度云合作的节点
https://blog.csdn.net/god_zzZ/article/details/109057803
https://hosch3n.github.io/2020/12/16/%E6%A3%80%E6%B5%8B%E4%B8%8E%E9%9A%90%E8%97%8FCobaltstrike%E6%9C%8D%E5%8A%A1%E5%99%A8/
https://support.cloudflare.com/hc/en-us/articles/200169156-Identifying-network-ports-compatible-with-Cloudflare-s-proxy
脚本块日志了解这些后,咱们能够编写一个protobuf标准,让咱们能够对后端履行一系列API调用,并处理它宣布的一切恳求。 因为Chrome的代码答应咱们掩盖本地含糊测验输入的网络数据源,然后简化了测...
今天是情人节,结婚后的你,还有收到过老公的情人节礼物吗? 昨天闺蜜在群里发了个图,说:“刚刚收到老公送的情人节礼物。” 我们正准备恭喜她的时候,她说:“让我们一起恭喜刚刚!” 恋爱...
如何向黑客不用鼠标黑客sunwear为什么有钱(sunwear是谁)黑客怎么查别人手机手机如何打开网址(手机qq怎么打开网址)cmd黑客怎么查手机ip什么软件能查家庭住址(身份证号查家庭住址)当黑客需...
因为牌牌琦和小伊伊在一起的时候两小我私家都没有成年,更不能冲向学校。照旧天真蒙昧的少男少女,进修同意我,得了好早恋对象要送心上人一份,但这对鸳鸯危害”的流动已经进入其他明眼的女西席的视线。中学生早恋怎...
SEO常犯的几个错误及对应发起 互联网在改变,搜索引擎也在改变,因此我们做SEO也需要改变。好比我们最干系的搜索引擎百度近两年来就有了一系列的行动,虽然我本身也有过这样的想法,因为我的网站有过雷同的遭...
以vivo x6s A为例子,系统版本为Android5.1.1,手机上双击亮屏的方式以下: 1、打开手机设定。 2、在设定页面中往下拉寻找【智能体感】。 3...