因此直接拼接即可,在这里随机拿出来一个进行拼接:http://10.30.7.240/rMf8当然,在这里可以用任意其他的均可:
如果在这里,访问后的地址显示乱码,那也可以将当前的文件使用Burpsuite右键保存起来也可以。
或者直接使用迅雷下载到本地也可以:
stager通过http的beacon上线中,先请求第一个uri地址:
http://10.30.7.240/rMf8
从第一个地址下载:
下载之后,对stage进行解密:
在这里直接使用https://github.com/Sentinel-One/CobaltStrikeParser中的代码进行解密,使用方法:在下载下来之后,先使用 pip3 install -r requirements.txt 在这里将需要安装的包都安装好:
下载刚刚的rMf8文件在当前文件夹下执行命令:python3 parse_beacon_config.py rMf8 --json > 1228.json
执行命令之后,打开1228.json文件,在这里你可以看到PublicKey:
当然这个PublicKey中要删除无效Padding,删除之后的正确公钥:打开之后的公约:
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDTePstpW0kXvni/Dxm+FW/MKoOQ2s3qyUb1234567iZgAyeXh/xN23lD+NPsPqVmjm97hgEMrijirQtQ9n12345670C0/WTFhOF4kv380Y1EvJiTHvzkUarynkPBG34XUmBakmQIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==
正确的公钥:
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDTePstpW0kXvni/Dxm+FW/MKoOQ2s3qyUb1234567iZgAyeXh/xN23lD+NPsPqVmjm97hgEMrijirQtQ9n12345670C0/WTFhOF4kv380Y1EvJiTHvzkUarynkPBG34XUmBakmQIDAQAB==
有了公钥之后,就可以模拟上线操作了:
06模拟上线
上线的话,其实有很多师傅已经写好了脚本,在这里直接下载运行即可:https://github.com/LiAoRJ/CS_fakesubmit
使用方法:直接在Public_key.txt中写入你的公钥就行,注意在写的时候,要使用上面的那个==结尾的。然后运行脚本:在这里需要输入的C2 Server的URL地址,在前面的那个流量里面可以看到:
至此,发现反制cs上线成功。
07域前置机器上线(失败)
在上面,使用的是未使用域前置的机器,在使用实际的域前置的机器进行测试的时候,发现最后报错,无法上线成功,因为时间问题,具体原因后续再进行分析。
