因此直接拼接即可，在这里随机拿出来一个进行拼接：http://10.30.7.240/rMf8当然，在这里可以用任意其他的均可：

如果在这里，访问后的地址显示乱码，那也可以将当前的文件使用Burpsuite右键保存起来也可以。

或者直接使用迅雷下载到本地也可以：

stager通过http的beacon上线中，先请求第一个uri地址：

http://10.30.7.240/rMf8

从第一个地址下载:

下载之后，对stage进行解密：

在这里直接使用https://github.com/Sentinel-One/CobaltStrikeParser中的代码进行解密，使用方法：在下载下来之后，先使用 pip3 install -r requirements.txt 在这里将需要安装的包都安装好：

下载刚刚的rMf8文件在当前文件夹下执行命令：python3 parse_beacon_config.py rMf8 --json > 1228.json

执行命令之后，打开1228.json文件，在这里你可以看到PublicKey：

当然这个PublicKey中要删除无效Padding，删除之后的正确公钥：打开之后的公约：

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDTePstpW0kXvni/Dxm+FW/MKoOQ2s3qyUb1234567iZgAyeXh/xN23lD+NPsPqVmjm97hgEMrijirQtQ9n12345670C0/WTFhOF4kv380Y1EvJiTHvzkUarynkPBG34XUmBakmQIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==

正确的公钥：

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDTePstpW0kXvni/Dxm+FW/MKoOQ2s3qyUb1234567iZgAyeXh/xN23lD+NPsPqVmjm97hgEMrijirQtQ9n12345670C0/WTFhOF4kv380Y1EvJiTHvzkUarynkPBG34XUmBakmQIDAQAB==

有了公钥之后，就可以模拟上线操作了：

06模拟上线

上线的话，其实有很多师傅已经写好了脚本，在这里直接下载运行即可：https://github.com/LiAoRJ/CS_fakesubmit

使用方法：直接在Public_key.txt中写入你的公钥就行，注意在写的时候，要使用上面的那个==结尾的。然后运行脚本：在这里需要输入的C2 Server的URL地址，在前面的那个流量里面可以看到：

至此，发现反制cs上线成功。

07域前置机器上线（失败）

在上面，使用的是未使用域前置的机器，在使用实际的域前置的机器进行测试的时候，发现最后报错，无法上线成功，因为时间问题，具体原因后续再进行分析。